Linus Torvalds i loko o ka hoʻokuʻu e hiki mai ana o ka Linux 5.4 kernel kahi hoʻonohonoho o nā patch "", ʻO David Howells (Red Hat) lāua ʻo Matthew Garrett (, hana ma Google) e kaupalena i ke komo ʻana o ka mea hoʻohana i ka kernel. Hoʻokomo ʻia nā hana e pili ana i ka laka i loko o kahi module LSM i koho ʻia (), ka mea e kau ai i ka pale ma waena o UID 0 a me ka kernel, kaohi ʻana i kekahi mau hana haʻahaʻa haʻahaʻa.
Inā hoʻokō ka mea hoʻouka i ka hoʻokō code me nā kuleana kumu, hiki iā ia ke hoʻokō i kāna code ma ka pae kernel, no ka laʻana, ma ka hoʻololi ʻana i ka kernel me ka hoʻohana ʻana i ke kexec a i ʻole heluhelu/kākau hoʻomanaʻo ma o /dev/kmem. ʻO ka hopena maopopo loa o ia hana UEFI Secure Boot a i ʻole kiʻi ʻana i ka ʻikepili koʻikoʻi i mālama ʻia ma ka pae kernel.
I ka hoʻomaka ʻana, ua hoʻomohala ʻia nā hana hoʻopaʻa aʻa i loko o ka pōʻaiapili o ka hoʻoikaika ʻana i ka pale o ka boot i hōʻoia ʻia, a ua hoʻohana nā puʻupuʻu i nā ʻāpana ʻaoʻao ʻekolu e pale aku i ka UEFI Secure Boot no kekahi manawa. I ka manawa like, ʻaʻole i hoʻokomo ʻia kēlā mau palena i ka haku mele ma muli o i kā lākou hoʻokō ʻana a me ka makaʻu i ka hoʻohaunaele i nā ʻōnaehana e kū nei. Ua hoʻopili ʻia ka module "lockdown" i nā ʻāpana i hoʻohana ʻia i ka hāʻawi ʻana, i hoʻolālā hou ʻia ma ke ʻano o kahi subsystem kaʻawale ʻaʻole i hoʻopaʻa ʻia i ka UEFI Secure Boot.
Kāohi ʻia ke ʻano laka i ke komo ʻana i /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), kekahi mau kikowaena ACPI a me CPU. Hoʻopaʻa inoa ʻia nā MSR, kexec_file a me kexec_load kelepona, pāpā ʻia ke ʻano moe, ua kaupalena ʻia ka hoʻohana ʻana o DMA no nā polokalamu PCI, pāpā ʻia ka hoʻokomo ʻana i nā code ACPI mai nā mea hoʻololi EFI,
ʻAʻole ʻae ʻia ka hana ʻana me nā awa I/O, me ka hoʻololi ʻana i ka helu interrupt a me ke awa I/O no ke awa serial.
Ma ka maʻamau, ʻaʻole ikaika ka module laka, kūkulu ʻia ke koho ʻia ke koho SECURITY_LOCKDOWN_LSM i kconfig a hoʻāla ʻia ma o ka kernel parameter "lockdown =", ka faila mana "/sys/kernel/security/lockdown" a i ʻole nā koho hui. , hiki ke lawe i nā waiwai "kūpono" a me "confidentiality". I ka hihia mua, ua ālai ʻia nā hiʻohiʻona e hiki ai ke hoʻololi i ka kernel e holo ana mai kahi mea hoʻohana, a i ka hihia ʻelua, hoʻopau ʻia ka hana i hiki ke hoʻohana ʻia e unuhi i ka ʻike koʻikoʻi mai ka kernel.
He mea nui e hoʻomaopopo i ka hoʻopaʻa ʻana i ka palena wale nō i ke komo maʻamau i ka kernel, akā ʻaʻole ia e pale i ka hoʻololi ʻana ma muli o ka hoʻohana ʻana i nā nāwaliwali. No ka pale ʻana i nā loli i ka kernel holo i ka wā e hoʻohana ʻia ai nā hana e ka papahana Openwall ʻokoʻa module (Linux Kernel Runtime Guard).
Source: opennet.ru