ሊኑስ ቶርቫልድስ
አንድ አጥቂ በጥቃቱ ምክንያት ኮድ አፈፃፀምን ከስር መብቶች ጋር ካገኘ ፣ኮዱን በከርነል ደረጃ ለምሳሌ ከርነሉን በ kexec በመተካት ወይም በማንበብ/በመፃፍ በ / dev/kmem ። የዚህ ዓይነቱ እንቅስቃሴ በጣም ግልፅ ውጤት ሊሆን ይችላል
የስር መገደብ ባህሪያት በመጀመሪያ የተገነቡት የተረጋገጠ የቡት ደህንነትን በማጠናከር አውድ ውስጥ ነው፣ እና ስርጭቶች የUEFI Secure Boot bypassን ለማገድ የሶስተኛ ወገን ፕላቶችን ለረጅም ጊዜ ተጠቅመዋል። በተመሳሳይ ጊዜ, እንደዚህ ያሉ እገዳዎች በዋና ዋና ስብጥር ውስጥ አልተካተቱም
መቆለፊያ የ/dev/mem፣ /dev/kmem፣ /dev/port፣/proc/kcore፣ debugfs፣ kprobes debug mode፣ mmiotrace፣ tracefs፣ BPF፣ PCMCIA CIS (የካርድ መረጃ መዋቅር)፣ አንዳንድ የኤሲፒአይ በይነገጾች እና ሲፒዩ መዳረሻን ይገድባል። የ MSR መመዝገቢያ፣ የ kexec_file እና የ kexec_load ጥሪዎች ታግደዋል፣ እንቅልፍ መተኛት የተከለከለ ነው፣ የዲኤምኤ ለ PCI መሳሪያዎች አጠቃቀም የተገደበ ነው፣ የኤሲፒአይ ኮድ ከ EFI ተለዋዋጮች ማስመጣት የተከለከለ ነው፣
የአቋራጭ ቁጥሩን እና ለተከታታይ ወደብ I/O ወደብ መቀየርን ጨምሮ የአይ/ኦ ወደብ ማቀናበር አይፈቀድም።
የመቆለፊያ ሞጁል በነባሪነት የቦዘነ ነው፣ በkconfig ውስጥ ያለውን SECURITY_LOCKDOWN_LSM አማራጭ በመግለጽ የተገነባ እና በመቆለፊያ = kernel parameter፣ በ /sys/kernel/security/lockdown መቆጣጠሪያ ፋይል ወይም አማራጮች ግንባታ የነቃ ነው።
በተመሳሳይ ጊዜ መቆለፍ የከርነል መደበኛ መዳረሻን ብቻ የሚገድብ ቢሆንም በተጋላጭነት ብዝበዛ ምክንያት ለውጦችን እንደማይከላከል ልብ ሊባል ይገባል። በOpenwall ፕሮጀክት ጥቅም ላይ በሚውሉበት ጊዜ የከርነል ለውጦችን ለማገድ
ምንጭ: opennet.ru