Linus Torvalds san áireamh sa scaoileadh atá le teacht den eithne Linux 5.4 tá sraith paistí "« David Howells (Red Hat) agus Matthew Garrett (, ag obair ag Google) chun rochtain úsáideora fréimhe ar an eithne a shrianadh. Tá feidhmiúlacht a bhaineann le glasáil san áireamh i modúl LSM atá lódáilte go roghnach (), a chuireann bacainn idir AitheantasÚsáideora 0 agus an eithne, rud a chuireann srian le feidhmiúlacht áirithe ar leibhéal íseal.
Má bhaineann ionsaitheoir amach cód a fhorghníomhú le cearta fréimhe, is féidir leis a chód a fhorghníomhú ag an leibhéal eithne, mar shampla, trí úsáid a bhaint as kexec a athsholáthar na heithne nó trí chuimhne léitheoireachta/scríbhneoireachta trí /dev/kmem. B’fhéidir gurb é an iarmhairt is soiléire dá leithéid de ghníomhaíocht UEFI Secure Boot nó sonraí íogaire atá stóráilte ag an leibhéal eithne a aisghabháil.
Ar dtús, forbraíodh feidhmeanna srianta fréamhacha i gcomhthéacs cosaint tosaithe fíoraithe a neartú, agus tá dáiltí ag baint úsáide as paistí tríú páirtí chun seachbhóthar UEFI Secure Boot a bhacadh le tamall maith anuas. Ag an am céanna, níor cuireadh srianta den sórt sin san áireamh i bpríomh-chomhdhéanamh an eithne mar gheall ar ina gcur i bhfeidhm agus eagla go gcuirfí isteach ar na córais atá ann cheana féin. D’ionsúigh an modúl “glasú” paistí a úsáideadh cheana i ndáiltí, a athdhearadh i bhfoirm fochóras ar leith nach raibh ceangailte le UEFI Secure Boot.
Cuireann an modh glasála srian le rochtain ar /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modh dífhabhtaithe kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struchtúr Faisnéise Cárta), roinnt comhéadain ACPI agus LAP Tá bac ar chláir MSR, glaonna kexec_file agus kexec_load, tá cosc ar mhodh codlata, tá teorainn le húsáid DMA le haghaidh feistí PCI, tá cosc ar allmhairiú cód ACPI ó athróga EFI,
Ní cheadaítear ionramhálacha le poirt I/O, lena n-áirítear an uimhir idirbhriste agus an port I/O a athrú don sraithphort.
De réir réamhshocraithe, níl an modúl glasála gníomhach, tógtar é nuair a shonraítear an rogha SECURITY_LOCKDOWN_LSM i kconfig agus cuirtear i ngníomh é tríd an bparaiméadar eithne “lockdown=”, an comhad rialaithe “/ sys/kernel/security/lockdown” nó roghanna tionóil , ar féidir leo na luachanna "sláine" agus "rúnda" a ghlacadh. Sa chéad chás, cuirtear bac ar ghnéithe a cheadaíonn athruithe a dhéanamh ar an eithne reatha ón spás úsáideora, agus sa dara cás, tá feidhmiúlacht is féidir a úsáid chun faisnéis íogair a bhaint as an eithne díchumasaithe freisin.
Tá sé tábhachtach a thabhairt faoi deara nach gcuireann an glasú srian ach ar rochtain chaighdeánach ar an eithne, ach nach gcosnaíonn sé in aghaidh modhnuithe mar thoradh ar shaothrú leochaileachtaí. Chun athruithe ar an eithne reatha a bhlocáil nuair a úsáideann tionscadal Openwall shaothrú modúl ar leith (Garda Am Reatha Eithne Linux).
Foinse: oscailtenet.ru