Linus Torvalds
Jekk attakkant jikseb l-eżekuzzjoni tal-kodiċi bid-drittijiet tal-għeruq, huwa jista 'jesegwixxi l-kodiċi tiegħu fil-livell tal-kernel, pereżempju, billi jissostitwixxi l-kernel bl-użu ta' kexec jew memorja ta 'qari/kitba permezz ta' /dev/kmem. L-aktar konsegwenza ovvja ta 'attività bħal din tista' tkun
Inizjalment, il-funzjonijiet ta 'restrizzjoni ta' l-għeruq ġew żviluppati fil-kuntest tat-tisħiħ tal-protezzjoni tal-boot verifikati, u d-distribuzzjonijiet ilhom jużaw irqajja ta 'partijiet terzi biex jimblukkaw il-bypass ta' UEFI Secure Boot għal żmien pjuttost twil. Fl-istess ħin, tali restrizzjonijiet ma kinux inklużi fil-kompożizzjoni prinċipali tal-qalba minħabba
Il-mod ta' illokkjar jirrestrinġi l-aċċess għal /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), xi interfaces ACPI u CPU Reġistri MSR, sejħiet kexec_file u kexec_load huma mblukkati, il-modalità sleep hija pprojbita, l-użu tad-DMA għal tagħmir PCI huwa limitat, l-importazzjoni tal-kodiċi ACPI minn varjabbli EFI hija pprojbita,
Manipulazzjonijiet b'portijiet I/O mhumiex permessi, inkluż it-tibdil tan-numru tal-interruzzjoni u l-port tal-I/O għall-port tas-serje.
B'mod awtomatiku, il-modulu tal-illokkjar mhuwiex attiv, huwa mibni meta l-għażla SECURITY_LOCKDOWN_LSM tkun speċifikata f'kconfig u tiġi attivata permezz tal-parametru tal-kernel "lockdown=", il-fajl ta 'kontroll "/sys/kernel/security/lockdown" jew għażliet ta' assemblaġġ
Huwa importanti li wieħed jinnota li l-illokkjar jillimita biss l-aċċess standard għall-kernel, iżda ma jipproteġix kontra modifiki bħala riżultat tal-isfruttament tal-vulnerabbiltajiet. Biex timblokka l-bidliet fil-qalba li qed taħdem meta l-isfruttamenti jintużaw mill-proġett Openwall
Sors: opennet.ru