Linus Torvalds gilakip sa umaabot nga pagpagawas sa Linux 5.4 kernel usa ka hugpong sa mga patch "«, David Howells (Red Hat) ug Matthew Garrett (, nagtrabaho sa Google) aron mapugngan ang pag-access sa gamut nga tiggamit sa kernel. Ang pag-andar nga may kalabotan sa Lockdown gilakip sa usa ka opsyonal nga gikarga nga LSM module (), nga nagbutang og babag tali sa UID 0 ug sa kernel, nga nagpugong sa pipila ka ubos nga lebel nga pagpaandar.
Kung ang usa ka tig-atake makakab-ot sa pagpatuman sa code nga adunay mga katungod sa gamut, mahimo niyang ipatuman ang iyang code sa lebel sa kernel, pananglitan, pinaagi sa pag-ilis sa kernel gamit ang kexec o memorya sa pagbasa/pagsulat pinaagi sa /dev/kmem. Ang labing klaro nga sangputanan sa ingon nga kalihokan mahimong UEFI Secure Boot o pagkuha sa sensitibo nga datos nga gitipigan sa lebel sa kernel.
Sa sinugdan, ang mga function sa pagdili sa gamut gipalambo sa konteksto sa pagpalig-on sa pagpanalipod sa napamatud-an nga boot, ug ang mga pag-apod-apod naggamit sa mga patch sa ikatulo nga partido aron babagan ang bypass sa UEFI Secure Boot sa dugay nga panahon. Sa parehas nga oras, ang ingon nga mga pagdili wala gilakip sa panguna nga komposisyon sa kernel tungod sa sa ilang pagpatuman ug kahadlok sa pagkabalda sa kasamtangan nga mga sistema. Ang module nga "lockdown" misuhop sa mga patch nga gigamit na sa mga distribusyon, nga gidesinyo pag-usab sa porma sa usa ka bulag nga subsystem nga wala gihigot sa UEFI Secure Boot.
Ang Lockdown mode nagpugong sa pag-access sa /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), pipila ka ACPI interface ug CPU Ang mga rehistro sa MSR, ang mga tawag sa kexec_file ug kexec_load gibabagan, gidili ang mode sa pagkatulog, ang paggamit sa DMA alang sa mga aparato sa PCI limitado, ang pag-import sa ACPI code gikan sa mga variable sa EFI gidili,
Ang mga manipulasyon nga adunay mga I/O port dili gitugotan, lakip ang pagbag-o sa interrupt number ug I/O port para sa serial port.
Sa kasagaran, ang module sa pag-lock dili aktibo, kini gitukod kung ang SECURITY_LOCKDOWN_LSM nga kapilian gitakda sa kconfig ug gi-aktibo pinaagi sa kernel parameter nga "lockdown =", ang control file "/ sys/kernel/security/lockdown" o mga kapilian sa asembliya , nga mahimong makuha ang mga mithi nga "integridad" ug "pagkakompidensyal". Sa una nga kaso, ang mga bahin nga nagtugot sa mga pagbag-o nga himuon sa nagdagan nga kernel gikan sa wanang sa gumagamit gibabagan, ug sa ikaduha nga kaso, ang pag-andar nga magamit aron makuha ang sensitibo nga kasayuran gikan sa kernel gi-disable usab.
Mahinungdanon nga timan-an nga ang pagkandado naglimite lamang sa standard nga pag-access sa kernel, apan dili manalipod batok sa mga pagbag-o ingon usa ka sangputanan sa pagpahimulos sa mga kahuyangan. Aron babagan ang mga pagbag-o sa nagdagan nga kernel kung ang mga pagpahimulos gigamit sa proyekto sa Openwall lahi nga module (Linux Kernel Runtime Guard).
Source: opennet.ru