Линус Торвальдс
Егер шабуылдаушы түбірлік құқықтармен кодты орындауға қол жеткізсе, ол ядро деңгейінде өз кодын орындай алады, мысалы, kexec көмегімен ядроны ауыстыру немесе /dev/kmem арқылы жадты оқу/жазу арқылы. Мұндай қызметтің ең айқын салдары болуы мүмкін
Бастапқыда түбірлік шектеу функциялары тексерілген жүктеуді қорғауды күшейту аясында әзірленді және дистрибутивтер біршама уақыт бойы UEFI Secure Boot бағдарламасын айналып өтуді блоктау үшін үшінші тарап патчтарын пайдаланып келеді. Сонымен қатар, мұндай шектеулер ядроның негізгі құрамына кірмеді
Құлыптау режимі /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes отладка режимі, mmiotrace, tracefs, BPF, PCMCIA CIS (карта туралы ақпарат құрылымы), кейбір ACPI интерфейстері мен процессорға кіруді шектейді. MSR регистрлері, kexec_file және kexec_load қоңыраулары бұғатталған, ұйқы режиміне тыйым салынған, PCI құрылғылары үшін DMA пайдалану шектелген, EFI айнымалыларынан ACPI кодын импорттауға тыйым салынған,
Енгізу/шығару порттарымен манипуляцияларға рұқсат етілмейді, соның ішінде үзіліс нөмірін және сериялық порт үшін енгізу/шығару портын өзгерту.
Әдепкі бойынша құлыптау модулі белсенді емес, ол SECURITY_LOCKDOWN_LSM опциясы kconfig ішінде көрсетілген кезде құрастырылады және ядро параметрі “lockdown=”, “/sys/kernel/security/lockdown” басқару файлы немесе құрастыру опциялары арқылы іске қосылады.
Құлыптау тек ядроға стандартты қол жеткізуді шектейтінін, бірақ осалдықтарды пайдалану нәтижесіндегі өзгертулерден қорғамайтынын ескеру маңызды. Openwall жобасы эксплойттарды пайдаланған кезде іске қосылған ядродағы өзгерістерді блоктау үшін
Ақпарат көзі: opennet.ru