Linus Torvalds tafiditra ao anatin'ny famoahana ny kernel Linux 5.4 ho avy dia andiana patch "", David Howells (Red Hat) sy Matthew Garrett (, miasa ao amin'ny Google) mba hamerana ny fidiran'ny mpampiasa root amin'ny kernel. Ny fiasa mifandraika amin'ny fanakatonana dia tafiditra ao anatin'ny maodely LSM azo alaina (), izay mametraka sakana eo amin'ny UID 0 sy ny kernel, mametra ny fiasa ambany.
Raha misy mpanafika mahavita ny famonoana kaody miaraka amin'ny zon'ny faka, dia afaka manatanteraka ny kaody ao amin'ny ambaratonga kernel izy, ohatra, amin'ny fanoloana ny kernel mampiasa kexec na fahatsiarovana mamaky/manoratra amin'ny alΓ lan'ny /dev/kmem. Ny vokatra mibaribary indrindra amin'ny hetsika toy izany dia mety ho UEFI Secure Boot na maka angon-drakitra saro-pady voatahiry amin'ny ambaratonga kernel.
Tany am-boalohany dia novolavolaina tao anatin'ny tontolon'ny fanamafisana ny fiarovana ny baoty voamarina ny fiasa famerana ny fakany, ary ny fizarana dia nampiasa patch avy amin'ny antoko fahatelo hanakanana ny fandalovan'ny UEFI Secure Boot nandritra ny fotoana elaela. Mandritra izany fotoana izany, ny fameperana toy izany dia tsy tafiditra ao amin'ny fototry ny kernel noho ny amin'ny fampiharana azy ireo sy ny tahotra ny fanakorontanana ny rafitra misy. Ny maody "fanidiana" dia nisintona patch efa nampiasaina tamin'ny fizarana, izay novolavolaina tamin'ny endrika subsystem misaraka tsy mifamatotra amin'ny UEFI Secure Boot.
Ny mode Lockdown dia mametra ny fidirana amin'ny / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), interface ACPI sasany ary CPU. Ny rejistra MSR, ny antso kexec_file ary ny kexec_load dia voasakana, voarara ny fomba torimaso, voafetra ny fampiasana DMA ho an'ny fitaovana PCI, voarara ny fanafarana kaody ACPI avy amin'ny variable EFI,
Ny fanodinkodinana amin'ny seranan-tsambo I/O dia tsy azo atao, anisan'izany ny fanovana ny laharana fahatapahana sy ny seranan-tsambo I/O ho an'ny seranan-tsambo.
Amin'ny alΓ lan'ny default, tsy mavitrika ny maody fanakatonana, natsangana rehefa voatondro ao amin'ny kconfig ny safidy SECURITY_LOCKDOWN_LSM ary alefa amin'ny alΓ lan'ny parameter kernel "lockdown=", ny rakitra fanaraha-maso "/ sys/kernel/security/lockdown" na safidy fivoriambe. , izay afaka maka ny soatoavina "fahamarinana" sy "fahafenoana". Amin'ny tranga voalohany, dia voasakana ny endri-javatra mamela ny fanovana natao amin'ny kernel mihazakazaka avy amin'ny habaka mpampiasa, ary amin'ny tranga faharoa, ny fampiasa izay azo ampiasaina hanesorana fampahalalana saro-pady avy amin'ny kernel dia kilemaina ihany koa.
Zava-dehibe ny manamarika fa ny fanakatonana dia mametra ny fidirana mahazatra amin'ny kernel, fa tsy miaro amin'ny fanovana vokatry ny fitrandrahana ny vulnerabilities. Mba hanakanana ny fanovana amin'ny kernel mihazakazaka rehefa ampiasaina amin'ny tetikasa Openwall ny fitrandrahana module misaraka (Linux Kernel Runtime Guard).
Source: opennet.ru