Linus Torvalds inkluż fir-rilaxx li jmiss tal-kernel Linux 5.4 huwa sett ta 'garża "«, David Howells (Red Hat) u Matthew Garrett (, jaħdem fuq Google) biex jirrestrinġi l-aċċess tal-utent root għall-qalba. Il-funzjonalità relatata mal-lockdown hija inkluża f'modulu LSM mgħobbi b'mod fakultattiv (), li tpoġġi ostaklu bejn l-UID 0 u l-qalba, li tirrestrinġi ċerta funzjonalità ta 'livell baxx.
Jekk attakkant jikseb l-eżekuzzjoni tal-kodiċi bid-drittijiet tal-għeruq, huwa jista 'jesegwixxi l-kodiċi tiegħu fil-livell tal-kernel, pereżempju, billi jissostitwixxi l-kernel bl-użu ta' kexec jew memorja ta 'qari/kitba permezz ta' /dev/kmem. L-aktar konsegwenza ovvja ta 'attività bħal din tista' tkun UEFI Secure Boot jew irkupru ta' data sensittiva maħżuna fil-livell tal-kernel.
Inizjalment, il-funzjonijiet ta 'restrizzjoni ta' l-għeruq ġew żviluppati fil-kuntest tat-tisħiħ tal-protezzjoni tal-boot verifikati, u d-distribuzzjonijiet ilhom jużaw irqajja ta 'partijiet terzi biex jimblukkaw il-bypass ta' UEFI Secure Boot għal żmien pjuttost twil. Fl-istess ħin, tali restrizzjonijiet ma kinux inklużi fil-kompożizzjoni prinċipali tal-qalba minħabba fl-implimentazzjoni tagħhom u l-biżgħat ta’ tfixkil fis-sistemi eżistenti. Il-modulu ta '"lockdown" assorbit garża diġà użati fid-distribuzzjonijiet, li ġew iddisinjati mill-ġdid fil-forma ta' sottosistema separata mhux marbuta ma 'UEFI Secure Boot.
Il-mod ta' illokkjar jirrestrinġi l-aċċess għal /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), xi interfaces ACPI u CPU Reġistri MSR, sejħiet kexec_file u kexec_load huma mblukkati, il-modalità sleep hija pprojbita, l-użu tad-DMA għal tagħmir PCI huwa limitat, l-importazzjoni tal-kodiċi ACPI minn varjabbli EFI hija pprojbita,
Manipulazzjonijiet b'portijiet I/O mhumiex permessi, inkluż it-tibdil tan-numru tal-interruzzjoni u l-port tal-I/O għall-port tas-serje.
B'mod awtomatiku, il-modulu tal-illokkjar mhuwiex attiv, huwa mibni meta l-għażla SECURITY_LOCKDOWN_LSM tkun speċifikata f'kconfig u tiġi attivata permezz tal-parametru tal-kernel "lockdown=", il-fajl ta 'kontroll "/sys/kernel/security/lockdown" jew għażliet ta' assemblaġġ , li jistgħu jieħdu l-valuri "integrità" u "kunfidenzjalità". Fl-ewwel każ, il-karatteristiċi li jippermettu li jsiru bidliet fil-qalba li qed taħdem mill-ispazju tal-utent huma mblukkati, u fit-tieni każ, il-funzjonalità li tista 'tintuża biex tiġi estratta informazzjoni sensittiva mill-qalba hija wkoll diżattivata.
Huwa importanti li wieħed jinnota li l-illokkjar jillimita biss l-aċċess standard għall-kernel, iżda ma jipproteġix kontra modifiki bħala riżultat tal-isfruttament tal-vulnerabbiltajiet. Biex timblokka l-bidliet fil-qalba li qed taħdem meta l-isfruttamenti jintużaw mill-proġett Openwall modulu separat (Linux Kernel Runtime Guard).
Sors: opennet.ru