لینس توروالډز
که یو برید کونکی د روټ حقونو سره د کوډ اجرا کول ترلاسه کړي، هغه کولی شي خپل کوډ د کرنل په کچه اجرا کړي، د بیلګې په توګه، د kexec په کارولو سره د کرنل بدلولو یا د /dev/kmem له لارې د لوستلو/لیکلو حافظه. د دې ډول فعالیت تر ټولو ښکاره پایله کیدای شي
په پیل کې ، د ریښې محدودیت دندې د تایید شوي بوټ محافظت پیاوړي کولو په شرایطو کې رامینځته شوي ، او توزیع د یو څه مودې لپاره د UEFI خوندي بوټ بای پاس بلاک کولو لپاره د دریمې ډلې پیچ کاروي. په ورته وخت کې، دا ډول محدودیتونه د کرنل په اصلي جوړښت کې شامل ندي
د لاک ډاون حالت /dev/mem، /dev/kmem، /dev/port، /proc/kcore، debugfs، kprobes debug mode، mmiotrace، tracefs، BPF، PCMCIA CIS (د کارت معلوماتو جوړښت)، ځینې ACPI انٹرفیسونو او CPU ته لاسرسی محدودوي. د MSR راجسترونه، kexec_file او kexec_load زنګونه بند شوي، د خوب حالت منع دی، د PCI وسیلو لپاره د DMA کارول محدود دي، د EFI تغیراتو څخه د ACPI کوډ واردول منع دي،
د I/O بندرونو سره لاسوهنې ته اجازه نشته، په شمول د سیریل پورټ لپاره د مداخلې شمیره او I/O بندر بدلول.
په ډیفالټ ډول، د لاک ډاون ماډل فعال نه دی، دا هغه وخت جوړیږي کله چې د SECURITY_LOCKDOWN_LSM اختیار په kconfig کې مشخص شوی وي او د کرنل پیرامیټر "lockdown="، د کنټرول فایل "/sys/kernel/security/lockdown" یا د اسمبلۍ اختیارونو له لارې فعال شوی وي.
دا مهمه ده چې په یاد ولرئ چې تالاشۍ یوازې کرنل ته معیاري لاسرسی محدودوي، مګر د زیانونو څخه د ګټې اخیستنې په پایله کې د بدلونونو په وړاندې ساتنه نه کوي. د چلولو کرنل کې د بدلونونو مخنیوي لپاره کله چې د اوپن وال پروژې لخوا استحصال کارول کیږي
سرچینه: opennet.ru