Линус Торвалдс
Эгерде чабуулчу кодду тамыр укуктары менен аткарууга жетишсе, ал өз кодун ядро деңгээлинде аткара алат, мисалы, kexec аркылуу ядрону алмаштыруу же /dev/kmem аркылуу эстутумду окуу/жазуу. Мындай иш-аракеттин эң айкын натыйжасы болушу мүмкүн
Башында, тамыр чектөө функциялары текшерилген жүктөөнүн коргоосун күчөтүү контекстинде иштелип чыккан жана дистрибуциялар бир топ убакыттан бери UEFI Secure Bootту айланып өтүүнү бөгөттөө үчүн үчүнчү тараптын патчтарын колдонуп келишкен. Ошол эле учурда, мындай чектөөлөр улам ядронун негизги курамына киргизилген эмес
Бөгөттөө режими /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes мүчүлүштүктөрдү оңдоо режими, mmiotrace, tracefs, BPF, PCMCIA CIS (Карта маалымат структурасы), кээ бир ACPI интерфейстерине жана CPUга кирүүнү чектейт. MSR регистрлери, kexec_file жана kexec_load чалуулары бөгөттөлгөн, уйку режимине тыюу салынган, PCI түзмөктөрү үчүн DMA колдонуу чектелген, EFI өзгөрмөлөрүнөн ACPI кодун импорттоого тыюу салынган,
Киргизүү/чыгаруу порттору менен манипуляцияларга, анын ичинде үзгүлтүккө учуратуу номерин жана сериялык порт үчүн киргизүү/чыгаруу портун өзгөртүүгө жол берилбейт.
Демейки боюнча, кулпулоо модулу жигердүү эмес, ал SECURITY_LOCKDOWN_LSM опциясы kconfigде көрсөтүлгөндө курулат жана “lockdown=” өзөк параметри, “/sys/kernel/security/lockdown” башкаруу файлы же чогултуу параметрлери аркылуу иштетилет.
Белгилеп кетүүчү нерсе, кулпулоо ядрого стандарттуу кирүүнү гана чектейт, бирок алсыздыктарды колдонуунун натыйжасында модификациялардан коргобойт. Openwall долбоору тарабынан эксплоиттер колдонулганда иштеп жаткан ядродогу өзгөрүүлөрдү бөгөттөө
Source: opennet.ru