ខឺណែលលីនុច 5.4 បានទទួលបំណះដើម្បីកំណត់ការចូលប្រើជា root ទៅកាន់ខឺណែលខាងក្នុង

Linus Torvalds ទទួលយក រួមបញ្ចូលនៅក្នុងការចេញផ្សាយនាពេលខាងមុខនៃខឺណែលលីនុច 5.4 គឺជាសំណុំនៃបំណះ "ចាក់សោ។« បានស្នើឡើង David Howells (Red Hat) និង Matthew Garrett (ម៉ាថាយ garrettធ្វើការនៅ Google) ដើម្បីកំណត់ការចូលប្រើជា root របស់អ្នកប្រើទៅកាន់ខឺណែល។ មុខងារដែលទាក់ទងនឹងការចាក់សោត្រូវបានរួមបញ្ចូលនៅក្នុងម៉ូឌុល LSM ដែលបានផ្ទុកស្រេចចិត្ត (ម៉ូឌុលសុវត្ថិភាពលីនុច) ដែលដាក់របាំងរវាង UID 0 និងខឺណែល ដោយដាក់កម្រិតមុខងារកម្រិតទាបមួយចំនួន។

ប្រសិនបើអ្នកវាយប្រហារសម្រេចបានការប្រតិបត្តិកូដដោយប្រើសិទ្ធិជា root គាត់អាចប្រតិបត្តិកូដរបស់គាត់នៅកម្រិតខឺណែល ឧទាហរណ៍ ដោយជំនួសខឺណែលដោយប្រើ kexec ឬអាន/សរសេរអង្គចងចាំតាមរយៈ /dev/kmem ។ ផលវិបាកជាក់ស្តែងបំផុតនៃសកម្មភាពបែបនេះអាចជា ផ្លូវវាង UEFI Secure Boot ឬការទាញយកទិន្នន័យរសើបដែលរក្សាទុកនៅកម្រិតខឺណែល។

ដំបូង មុខងាររឹតបន្តឹងជា root ត្រូវបានបង្កើតឡើងក្នុងបរិបទនៃការពង្រឹងការការពារនៃការចាប់ផ្ដើមដែលបានផ្ទៀងផ្ទាត់ ហើយការចែកចាយបាននឹងកំពុងប្រើប្រាស់បំណះភាគីទីបីដើម្បីទប់ស្កាត់ការឆ្លងកាត់នៃ UEFI Secure Boot មួយរយៈ។ ក្នុងពេលជាមួយគ្នានេះការរឹតបន្តឹងបែបនេះមិនត្រូវបានរួមបញ្ចូលនៅក្នុងសមាសភាពសំខាន់នៃខឺណែលដោយសារតែ ការមិនយល់ស្រប នៅក្នុងការអនុវត្តរបស់ពួកគេ និងការភ័យខ្លាចនៃការរំខានដល់ប្រព័ន្ធដែលមានស្រាប់។ ម៉ូឌុល "ចាក់សោរ" បានស្រូបយកបំណះដែលបានប្រើរួចហើយនៅក្នុងការចែកចាយ ដែលត្រូវបានរចនាឡើងវិញក្នុងទម្រង់ជាប្រព័ន្ធរងដាច់ដោយឡែកដែលមិនភ្ជាប់ជាមួយ UEFI Secure Boot។

របៀបចាក់សោរដាក់កម្រិតការចូលប្រើ /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (រចនាសម្ព័ន្ធព័ត៌មានកាត) ចំណុចប្រទាក់ ACPI និង CPU មួយចំនួន ការចុះឈ្មោះ MSR ការហៅ kexec_file និងការហៅ kexec_load ត្រូវបានរារាំង របៀបគេងត្រូវបានហាមឃាត់ ការប្រើប្រាស់ DMA សម្រាប់ឧបករណ៍ PCI ត្រូវបានកំណត់ ការនាំចូលកូដ ACPI ពីអថេរ EFI ត្រូវបានហាមឃាត់។
ឧបាយកលជាមួយច្រក I/O មិនត្រូវបានអនុញ្ញាត រួមទាំងការផ្លាស់ប្តូរលេខរំខាន និងច្រក I/O សម្រាប់ច្រកសៀរៀល។

តាមលំនាំដើម ម៉ូឌុលចាក់សោមិនដំណើរការទេ វាត្រូវបានបង្កើតឡើងនៅពេលដែលជម្រើស SECURITY_LOCKDOWN_LSM ត្រូវបានបញ្ជាក់នៅក្នុង kconfig ហើយត្រូវបានធ្វើឱ្យសកម្មតាមរយៈប៉ារ៉ាម៉ែត្រខឺណែល “lockdown=” ឯកសារបញ្ជា “/sys/kernel/security/lockdown” ឬជម្រើសដំឡើង LOCK_DOWN_KERNEL_FORCE_*ដែលអាចទទួលយកតម្លៃ "សុចរិតភាព" និង "ការសម្ងាត់" ។ ក្នុងករណីដំបូង លក្ខណៈពិសេសដែលអនុញ្ញាតឱ្យមានការផ្លាស់ប្តូរទៅលើខឺណែលដែលកំពុងដំណើរការពីទំហំអ្នកប្រើប្រាស់ត្រូវបានរារាំង ហើយក្នុងករណីទីពីរ មុខងារដែលអាចត្រូវបានប្រើដើម្បីទាញយកព័ត៌មានរសើបចេញពីខឺណែលក៏ត្រូវបានបិទផងដែរ។

វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថាការចាក់សោរកំណត់តែការចូលប្រើស្តង់ដារទៅខឺណែលប៉ុណ្ណោះ ប៉ុន្តែមិនការពារប្រឆាំងនឹងការកែប្រែដែលជាលទ្ធផលនៃការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនោះទេ។ ដើម្បីទប់ស្កាត់ការផ្លាស់ប្តូរទៅខឺណែលដែលកំពុងដំណើរការនៅពេលដែលការកេងប្រវ័ញ្ចត្រូវបានប្រើដោយគម្រោង Openwall កំពុងអភិវឌ្ឍ ម៉ូឌុលដាច់ដោយឡែក LKRG (Linux Kernel Runtime Guard) ។

ប្រភព: opennet.ru