Linus Torvalds
Raha misy mpanafika mahavita ny famonoana kaody miaraka amin'ny zon'ny faka, dia afaka manatanteraka ny kaody ao amin'ny ambaratonga kernel izy, ohatra, amin'ny fanoloana ny kernel mampiasa kexec na fahatsiarovana mamaky/manoratra amin'ny alàlan'ny /dev/kmem. Ny vokatra mibaribary indrindra amin'ny hetsika toy izany dia mety ho
Tany am-boalohany dia novolavolaina tao anatin'ny tontolon'ny fanamafisana ny fiarovana ny baoty voamarina ny fiasa famerana ny fakany, ary ny fizarana dia nampiasa patch avy amin'ny antoko fahatelo hanakanana ny fandalovan'ny UEFI Secure Boot nandritra ny fotoana elaela. Mandritra izany fotoana izany, ny fameperana toy izany dia tsy tafiditra ao amin'ny fototry ny kernel noho ny
Ny mode Lockdown dia mametra ny fidirana amin'ny / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), interface ACPI sasany ary CPU. Ny rejistra MSR, ny antso kexec_file ary ny kexec_load dia voasakana, voarara ny fomba torimaso, voafetra ny fampiasana DMA ho an'ny fitaovana PCI, voarara ny fanafarana kaody ACPI avy amin'ny variable EFI,
Ny fanodinkodinana amin'ny seranan-tsambo I/O dia tsy azo atao, anisan'izany ny fanovana ny laharana fahatapahana sy ny seranan-tsambo I/O ho an'ny seranan-tsambo.
Amin'ny alàlan'ny default, tsy mavitrika ny maody fanakatonana, natsangana rehefa voatondro ao amin'ny kconfig ny safidy SECURITY_LOCKDOWN_LSM ary alefa amin'ny alàlan'ny parameter kernel "lockdown=", ny rakitra fanaraha-maso "/ sys/kernel/security/lockdown" na safidy fivoriambe.
Zava-dehibe ny manamarika fa ny fanakatonana dia mametra ny fidirana mahazatra amin'ny kernel, fa tsy miaro amin'ny fanovana vokatry ny fitrandrahana ny vulnerabilities. Mba hanakanana ny fanovana amin'ny kernel mihazakazaka rehefa ampiasaina amin'ny tetikasa Openwall ny fitrandrahana
Source: opennet.ru