Linus Torvalds
Má bhaineann ionsaitheoir amach cód a fhorghníomhú le cearta fréimhe, is féidir leis a chód a fhorghníomhú ag an leibhéal eithne, mar shampla, trí úsáid a bhaint as kexec a athsholáthar na heithne nó trí chuimhne léitheoireachta/scríbhneoireachta trí /dev/kmem. B’fhéidir gurb é an iarmhairt is soiléire dá leithéid de ghníomhaíocht
Ar dtús, forbraíodh feidhmeanna srianta fréamhacha i gcomhthéacs cosaint tosaithe fíoraithe a neartú, agus tá dáiltí ag baint úsáide as paistí tríú páirtí chun seachbhóthar UEFI Secure Boot a bhacadh le tamall maith anuas. Ag an am céanna, níor cuireadh srianta den sórt sin san áireamh i bpríomh-chomhdhéanamh an eithne mar gheall ar
Cuireann an modh glasála srian le rochtain ar /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modh dífhabhtaithe kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struchtúr Faisnéise Cárta), roinnt comhéadain ACPI agus LAP Tá bac ar chláir MSR, glaonna kexec_file agus kexec_load, tá cosc ar mhodh codlata, tá teorainn le húsáid DMA le haghaidh feistí PCI, tá cosc ar allmhairiú cód ACPI ó athróga EFI,
Ní cheadaítear ionramhálacha le poirt I/O, lena n-áirítear an uimhir idirbhriste agus an port I/O a athrú don sraithphort.
De réir réamhshocraithe, níl an modúl glasála gníomhach, tógtar é nuair a shonraítear an rogha SECURITY_LOCKDOWN_LSM i kconfig agus cuirtear i ngníomh é tríd an bparaiméadar eithne “lockdown=”, an comhad rialaithe “/ sys/kernel/security/lockdown” nó roghanna tionóil
Tá sé tábhachtach a thabhairt faoi deara nach gcuireann an glasú srian ach ar rochtain chaighdeánach ar an eithne, ach nach gcosnaíonn sé in aghaidh modhnuithe mar thoradh ar shaothrú leochaileachtaí. Chun athruithe ar an eithne reatha a bhlocáil nuair a úsáideann tionscadal Openwall shaothrú
Foinse: oscailtenet.ru