لینس توروالډز د لینکس 5.4 کرنل په راتلونکي ریلیز کې شامل د پیچونو سیټ دی ""، ډیویډ هاویلز (ریډ هیټ) او میتیو ګیریټ (، په ګوګل کې کار کوي) د کرنل ته د روټ کارونکي لاسرسي محدودولو لپاره. د لاک ډاون پورې اړوند فعالیت په اختیاري ډول بار شوي LSM ماډل کې شامل دی ()، کوم چې د UID 0 او kernel تر منځ خنډ جوړوي، د ځینې ټیټې کچې فعالیت محدودوي.
که یو برید کونکی د روټ حقونو سره د کوډ اجرا کول ترلاسه کړي، هغه کولی شي خپل کوډ د کرنل په کچه اجرا کړي، د بیلګې په توګه، د kexec په کارولو سره د کرنل بدلولو یا د /dev/kmem له لارې د لوستلو/لیکلو حافظه. د دې ډول فعالیت تر ټولو ښکاره پایله کیدای شي د UEFI خوندي بوټ یا د کرنل په کچه ذخیره شوي حساس معلومات بیرته ترلاسه کول.
په پیل کې ، د ریښې محدودیت دندې د تایید شوي بوټ محافظت پیاوړي کولو په شرایطو کې رامینځته شوي ، او توزیع د یو څه مودې لپاره د UEFI خوندي بوټ بای پاس بلاک کولو لپاره د دریمې ډلې پیچ کاروي. په ورته وخت کې، دا ډول محدودیتونه د کرنل په اصلي جوړښت کې شامل ندي د دوی په پلي کولو کې او د موجوده سیسټمونو د ګډوډۍ ویره. د "لاک ډاون" ماډل جذب شوي پیچونه دمخه په توزیع کې کارول شوي ، کوم چې د یو جلا فرعي سیسټم په توګه له سره ډیزاین شوي چې د UEFI خوندي بوټ سره ندي تړل شوي.
د لاک ډاون حالت /dev/mem، /dev/kmem، /dev/port، /proc/kcore، debugfs، kprobes debug mode، mmiotrace، tracefs، BPF، PCMCIA CIS (د کارت معلوماتو جوړښت)، ځینې ACPI انٹرفیسونو او CPU ته لاسرسی محدودوي. د MSR راجسترونه، kexec_file او kexec_load زنګونه بند شوي، د خوب حالت منع دی، د PCI وسیلو لپاره د DMA کارول محدود دي، د EFI تغیراتو څخه د ACPI کوډ واردول منع دي،
د I/O بندرونو سره لاسوهنې ته اجازه نشته، په شمول د سیریل پورټ لپاره د مداخلې شمیره او I/O بندر بدلول.
په ډیفالټ ډول، د لاک ډاون ماډل فعال نه دی، دا هغه وخت جوړیږي کله چې د SECURITY_LOCKDOWN_LSM اختیار په kconfig کې مشخص شوی وي او د کرنل پیرامیټر "lockdown="، د کنټرول فایل "/sys/kernel/security/lockdown" یا د اسمبلۍ اختیارونو له لارې فعال شوی وي. ، کوم چې کولی شي ارزښتونه "سالمیت" او "محرمیت" واخلي. په لومړي حالت کې، هغه ځانګړتیاوې چې د کارونکي ځای څخه د چلولو دانه کې بدلونونو ته اجازه ورکوي بلاک شوي، او په دویمه قضیه کې، هغه فعالیت چې د کرنل څخه د حساس معلوماتو استخراج لپاره کارول کیدی شي هم غیر فعال وي.
دا مهمه ده چې په یاد ولرئ چې تالاشۍ یوازې کرنل ته معیاري لاسرسی محدودوي، مګر د زیانونو څخه د ګټې اخیستنې په پایله کې د بدلونونو په وړاندې ساتنه نه کوي. د چلولو کرنل کې د بدلونونو مخنیوي لپاره کله چې د اوپن وال پروژې لخوا استحصال کارول کیږي جلا ماډل (د لینکس کرنل رنټیم ګارډ).
سرچینه: opennet.ru