Linus Torvalds
Os yw ymosodwr yn cyflawni gweithrediad cod gyda hawliau gwraidd, gall weithredu ei god ar lefel y cnewyllyn, er enghraifft, trwy ddefnyddio kexec yn lle'r cnewyllyn neu gof darllen / ysgrifennu trwy /dev/kmem. Efallai mai canlyniad mwyaf amlwg gweithgaredd o'r fath yw
I ddechrau, datblygwyd swyddogaethau cyfyngu gwreiddiau yng nghyd-destun cryfhau amddiffyniad cist wedi'i ddilysu, ac mae dosbarthiadau wedi bod yn defnyddio clytiau trydydd parti i rwystro ffordd osgoi Cist Diogel UEFI ers cryn amser. Ar yr un pryd, ni chynhwyswyd cyfyngiadau o'r fath ym mhrif gyfansoddiad y cnewyllyn oherwydd
Mae'r modd cloi yn cyfyngu ar fynediad i /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modd dadfygio kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Strwythur Gwybodaeth Cerdyn), rhai rhyngwynebau ACPI a CPU Mae cofrestrau MSR, galwadau kexec_file a kexec_load wedi'u rhwystro, mae modd cysgu wedi'i wahardd, mae defnydd DMA ar gyfer dyfeisiau PCI yn gyfyngedig, gwaherddir mewnforio cod ACPI o newidynnau EFI,
Ni chaniateir trin â phorthladdoedd I/O, gan gynnwys newid y rhif ymyrraeth a'r porthladd I/O ar gyfer y porthladd cyfresol.
Yn ddiofyn, nid yw'r modiwl cloi yn weithredol, mae'n cael ei adeiladu pan fydd yr opsiwn SECURITY_LOCKDOWN_LSM wedi'i nodi yn kconfig ac yn cael ei actifadu trwy'r paramedr cnewyllyn "cloi i lawr =", y ffeil rheoli "/ sys / cnewyllyn / diogelwch / cloi i lawr" neu opsiynau cydosod
Mae'n bwysig nodi bod cloi dim ond yn cyfyngu ar fynediad safonol i'r cnewyllyn, ond nid yw'n amddiffyn rhag addasiadau o ganlyniad i ecsbloetio gwendidau. I rwystro newidiadau i'r cnewyllyn rhedeg pan fydd gorchestion yn cael eu defnyddio gan brosiect Openwall
Ffynhonnell: opennet.ru