ሊኑስ ቶርቫልድስ ለወደፊቱ የሊኑክስ ከርነል 5.4 patch ስብስብ አካል"« ዴቪድ ሃውልስ (ቀይ ኮፍያ) እና ማቲው ጋርሬት (በGoogle የተጎለበተ) የከርነል ስርወ መዳረሻን ለመገደብ። ከመቆለፊያ ጋር የተያያዘው ተግባር በአማራጭ ወደተጫነው LSM ሞጁል ተወስዷል () በUID 0 እና በከርነል መካከል እንቅፋት የሚፈጥር፣ የተወሰኑ ዝቅተኛ ደረጃ ተግባራትን የሚገድብ።
አንድ አጥቂ በጥቃቱ ምክንያት ኮድ አፈፃፀምን ከስር መብቶች ጋር ካገኘ ፣ኮዱን በከርነል ደረጃ ለምሳሌ ከርነሉን በ kexec በመተካት ወይም በማንበብ/በመፃፍ በ / dev/kmem ። የዚህ ዓይነቱ እንቅስቃሴ በጣም ግልፅ ውጤት ሊሆን ይችላል UEFI Secure Boot ወይም በከርነል ደረጃ የተከማቸ ሚስጥራዊነት ያለው መረጃ ማውጣት።
የስር መገደብ ባህሪያት በመጀመሪያ የተገነቡት የተረጋገጠ የቡት ደህንነትን በማጠናከር አውድ ውስጥ ነው፣ እና ስርጭቶች የUEFI Secure Boot bypassን ለማገድ የሶስተኛ ወገን ፕላቶችን ለረጅም ጊዜ ተጠቅመዋል። በተመሳሳይ ጊዜ, እንደዚህ ያሉ እገዳዎች በዋና ዋና ስብጥር ውስጥ አልተካተቱም በአፈፃፀማቸው እና የነባር ስርዓቶች መቋረጥን መፍራት. የ"መቆለፊያ" ሞጁል አስቀድሞ በስርጭቶች ውስጥ ጥቅም ላይ የዋሉ ንጣፎችን አካቷል፣ እነሱም ከUEFI Secure Boot ጋር ባልተያያዘ በተለየ ንዑስ ስርዓት መልክ ተዘጋጅተዋል።
መቆለፊያ የ/dev/mem፣ /dev/kmem፣ /dev/port፣/proc/kcore፣ debugfs፣ kprobes debug mode፣ mmiotrace፣ tracefs፣ BPF፣ PCMCIA CIS (የካርድ መረጃ መዋቅር)፣ አንዳንድ የኤሲፒአይ በይነገጾች እና ሲፒዩ መዳረሻን ይገድባል። የ MSR መመዝገቢያ፣ የ kexec_file እና የ kexec_load ጥሪዎች ታግደዋል፣ እንቅልፍ መተኛት የተከለከለ ነው፣ የዲኤምኤ ለ PCI መሳሪያዎች አጠቃቀም የተገደበ ነው፣ የኤሲፒአይ ኮድ ከ EFI ተለዋዋጮች ማስመጣት የተከለከለ ነው፣
የአቋራጭ ቁጥሩን እና ለተከታታይ ወደብ I/O ወደብ መቀየርን ጨምሮ የአይ/ኦ ወደብ ማቀናበር አይፈቀድም።
የመቆለፊያ ሞጁል በነባሪነት የቦዘነ ነው፣ በkconfig ውስጥ ያለውን SECURITY_LOCKDOWN_LSM አማራጭ በመግለጽ የተገነባ እና በመቆለፊያ = kernel parameter፣ በ /sys/kernel/security/lockdown መቆጣጠሪያ ፋይል ወይም አማራጮች ግንባታ የነቃ ነው። እሴቶቹን "ንጹህነት" እና "ምስጢራዊነት" ሊወስድ ይችላል. የቀድሞው የከርነል ከተጠቃሚ ቦታ ላይ ለውጦችን የሚፈቅዱ ባህሪያትን ያሰናክላል፣ የኋለኛው ደግሞ ሚስጥራዊነት ያለው መረጃ ከከርነል ለማውጣት የሚያገለግል ተግባርን ያሰናክላል።
በተመሳሳይ ጊዜ መቆለፍ የከርነል መደበኛ መዳረሻን ብቻ የሚገድብ ቢሆንም በተጋላጭነት ብዝበዛ ምክንያት ለውጦችን እንደማይከላከል ልብ ሊባል ይገባል። በOpenwall ፕሮጀክት ጥቅም ላይ በሚውሉበት ጊዜ የከርነል ለውጦችን ለማገድ የተለየ ሞጁል (Linux Kernel Runtime Guard)።
ምንጭ: opennet.ru