Linus Torvalds air a ghabhail a-steach san fhoillseachadh a tha ri thighinn den kernel Linux 5.4 tha seata de phìosan "« Dàibhidh Howells (Red Hat) agus Matthew Garrett (, ag obair aig Google) gus casg a chuir air ruigsinneachd neach-cleachdaidh freumh air an kernel. Tha gnìomhachd co-cheangailte ri glasadh air a ghabhail a-steach ann am modal LSM a tha air a luchdachadh gu roghnach (), a tha a’ cur cnap-starra eadar UID 0 agus an kernel, a’ cuingealachadh cuid de ghnìomhachd ìre ìosal.
Ma choileanas neach-ionnsaigh cur an gnìomh còd le còraichean freumha, faodaidh e a chòd a chuir an gnìomh aig ìre na h-eithne, mar eisimpleir, le bhith a’ cur an kernel an àite kexec no le bhith a’ leughadh / a’ sgrìobhadh cuimhne tro /dev/kmem. Is dòcha gur e an toradh as follaisiche a leithid de ghnìomhachd UEFI Secure Boot no a’ faighinn air ais dàta mothachail air a stòradh aig ìre kernel.
An toiseach, chaidh gnìomhan cuibhreachaidh freumhan a leasachadh ann an co-theacsa dìon dìon bròg dearbhte a neartachadh, agus tha sgaoilidhean air a bhith a’ cleachdadh badan treas-phàrtaidh gus casg a chuir air seach-rathad UEFI Secure Boot airson ùine mhòr. Aig an aon àm, cha robh an leithid de chuingealachaidhean air an toirt a-steach do phrìomh cho-dhèanamh an kernel air sgàth ann am buileachadh agus eagal mu bhuaireadh air na siostaman a th’ ann mar-thà. Ghabh am modal “glasadh sìos” a-steach pìosan a chaidh a chleachdadh mar-thà ann an sgaoilidhean, a chaidh ath-dhealbhadh ann an cruth fo-shiostam air leth nach robh ceangailte ri UEFI Secure Boot.
Tha modh glasaidh a 'cuingealachadh ruigsinneachd gu / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, modh deasbaid kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Structaran Fiosrachaidh Cairt), cuid de eadar-aghaidh ACPI agus CPU Tha clàran MSR, kexec_file agus gairmean kexec_load air am bacadh, tha modh cadail air a thoirmeasg, tha cleachdadh DMA airson innealan PCI cuibhrichte, tha casg air toirt a-steach còd ACPI bho chaochladairean EFI,
Chan eil làimhseachadh le puirt I/O ceadaichte, a’ gabhail a-steach atharrachadh an àireamh brisidh agus port I/O airson a’ phort sreathach.
Gu gnàthach, chan eil am modal glasaidh gnìomhach, thèid a thogail nuair a tha an roghainn SECURITY_LOCKDOWN_LSM air a shònrachadh ann an kconfig agus air a ghnìomhachadh tron pharamadair kernel “lockdown =”, am faidhle smachd “/ sys / kernel / tèarainteachd / glasadh” no roghainnean cruinneachaidh , a ghabhas na luachan "ionracas" agus "dìomhaireachd". Anns a ’chiad chùis, tha feartan a leigeas le atharrachaidhean a dhèanamh air an kernel ruith bho àite luchd-cleachdaidh air am bacadh, agus anns an dàrna cùis, tha gnìomhachd a dh’ fhaodar a chleachdadh gus fiosrachadh mothachail a thoirt a-mach às an kernel cuideachd ciorramach.
Tha e cudromach toirt fa-near nach eil glasadh sìos ach a’ cuingealachadh ruigsinneachd àbhaisteach air an kernel, ach nach eil e a’ dìon an aghaidh atharrachaidhean mar thoradh air a bhith a’ gabhail brath air so-leòntachd. Gus casg a chuir air atharrachaidhean air an kernel ruith nuair a bhios pròiseact Openwall a’ cleachdadh brathan modal fa leth (Linux Kernel Runtime Guard).
Source: fosgailtenet.ru