Linus Torvalds kei roto i te tukunga e haere ake nei o te Linux 5.4 kernel he huinga papaki "", David Howells (Red Hat) me Matthew Garrett (, mahi i Google) ki te aukati i te uru o te kaiwhakamahi pakiaka ki te kernel. Ko nga mahi e pa ana ki te maukati kei roto i tetahi waahanga LSM kua utaina noa (), ka waiho he arai i waenga i te UID 0 me te kakano, e aukati ana i etahi mahi taumata-iti.
Mena ka whakatutukihia e te kaitukino te mahi waehere me nga mana pakiaka, ka taea e ia te mahi i tana waehere i te taumata kernel, hei tauira, ma te whakakapi i te kernel ma te whakamahi i te kexec, te mahara panui/tuhi ranei ma te /dev/kmem. Ko te hua tino kitea o aua mahi ko UEFI Secure Boot, te tango ranei i nga raraunga tairongo kua rongoa ki te taumata kernel.
I te timatanga, i whakawhanakehia nga mahi aukati pakiaka i roto i te horopaki o te whakakaha i te whakamarumaru o te peke kua manatokohia, a kua whakamahia e nga tohatoha nga papaa tuatoru hei aukati i te UEFI Secure Boot mo te wa roa. I te wa ano, kaore i whakauruhia enei here ki roto i te hanganga matua o te kernel na te mea i roto i ta raatau whakatinanatanga me te mataku kei pakaru nga punaha o naianei. Ko te kōwae "rakau" ka uru ki nga papanga kua whakamahia i roto i nga tohatoha, i hangaia ano i roto i te ahua o te punaha motuhake kaore i herea ki te UEFI Secure Boot.
Ko te aratau kati ka aukati i te uru ki /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes aratau patuiro, mmiotrace, tracefs, BPF, PCMCIA CIS (Hanganga Momo Kaari), etahi atanga ACPI me te PTM Ko nga rehita MSR, ko te kexec_file me te kexec_load waea kua aukatihia, kua aukatihia te aratau moe, he iti te whakamahi DMA mo nga taputapu PCI, ka aukati te kawemai waehere ACPI mai i nga taurangi EFI,
Karekau e whakaaetia te raweke me nga tauranga I/O, tae atu ki te whakarereke i te tau haukoti me te tauranga I/O mo te tauranga rangatū.
Ma te taunoa, kaore i te kaha te kōwae raka, ka hangaia ina tohua te whiringa SECURITY_LOCKDOWN_LSM ki te kconfig ka whakahohehia ma te tawhā kernel "lockdown=", te konae whakahaere "/sys/kernel/security/lockdown" me nga whiringa huihuinga. , ka taea te tango i nga uara "te tika" me te "matatapu". I te keehi tuatahi, ka aukatihia nga ahuatanga e taea ai te whakarereke i te kakano rere mai i te waahi kaiwhakamahi, a, i te keehi tuarua, ka whakakorehia nga mahi ka taea te tango korero tairongo mai i te kernel.
He mea nui kia mahara ko te kati anake ka whakawhäitihia te urunga paerewa ki te kakano, engari karekau e parea ki nga whakarereketanga na te whakaraeraetanga o nga whakaraeraetanga. Hei aukati i nga huringa ki te kakano rere ina whakamahia nga mahi e te kaupapa Openwall kōwae motuhake (Linux Kernel Runtime Guard).
Source: opennet.ru