Линус Торвалдс
Хэрэв халдагчид root эрхтэй кодын гүйцэтгэлд хүрсэн бол тэр өөрийн кодоо цөмийн түвшинд, жишээлбэл, kexec ашиглан цөмийг солих эсвэл /dev/kmem-ээр дамжуулан санах ойг унших/бичих зэргээр ажиллуулж болно. Ийм үйл ажиллагааны хамгийн тод үр дагавар нь байж болно
Эхэндээ эх хязгаарлах функцийг баталгаажуулсан ачааллын хамгаалалтыг бэхжүүлэх хүрээнд боловсруулсан бөгөөд түгээлтүүд нь UEFI Secure Boot-ийг тойрч гарахыг хориглохын тулд гуравдагч талын засваруудыг ашиглаж байна. Үүний зэрэгцээ ийм хязгаарлалтыг цөмийн үндсэн бүрэлдэхүүнд оруулаагүй болно
Түгжих горим нь /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes дебаг горим, mmiotrace, tracefs, BPF, PCMCIA CIS (Картын мэдээллийн бүтэц), зарим ACPI интерфэйсүүд болон CPU-д хандах хандалтыг хязгаарладаг. MSR регистр, kexec_file болон kexec_load дуудлагууд хаагдсан, унтах горимыг хориглосон, PCI төхөөрөмжүүдийн DMA хэрэглээ хязгаарлагдмал, EFI хувьсагчаас ACPI код импортлохыг хориглосон,
Цуваа портын тасалдлын дугаар болон оролт гаралтын портыг өөрчлөх зэрэг оролт/гаралтын портуудтай ажиллахыг хориглоно.
Өгөгдмөл байдлаар түгжих модуль идэвхгүй бөгөөд үүнийг kconfig-д SECURITY_LOCKDOWN_LSM сонголтыг зааж өгсөн үед бүтээгдсэн бөгөөд "lockdown=" цөмийн параметр, "/sys/kernel/security/lockdown" хяналтын файл эсвэл угсралтын сонголтуудаар идэвхждэг.
Түгжигдэх нь зөвхөн цөмд нэвтрэх стандарт хандалтыг хязгаарладаг боловч эмзэг байдлын ашиглалтын үр дүнд өөрчлөлт оруулахаас хамгаалахгүй гэдгийг анхаарах нь чухал юм. Openwall төсөлд эксплойт ашиглах үед ажиллаж байгаа цөмд өөрчлөлт оруулахыг хориглох
Эх сурвалж: opennet.ru