Linus Torvalds
Mshambulizi akifanikisha utekelezaji wa msimbo na haki za mizizi, anaweza kutekeleza msimbo wake katika kiwango cha kernel, kwa mfano, kwa kubadilisha kernel kwa kutumia kexec au kumbukumbu ya kusoma/kuandika kupitia /dev/kmem. Matokeo ya dhahiri zaidi ya shughuli hiyo inaweza kuwa
Hapo awali, kazi za kizuizi cha mizizi zilitengenezwa katika muktadha wa kuimarisha ulinzi wa buti iliyoidhinishwa, na usambazaji umekuwa ukitumia viraka vya mtu wa tatu kuzuia kupita kwa UEFI Secure Boot kwa muda mrefu. Wakati huo huo, vikwazo vile havikujumuishwa katika utungaji mkuu wa kernel kutokana na
Hali ya kufunga inazuia ufikiaji wa /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes modi ya utatuzi, mmiotrace, tracefs, BPF, PCMCIA CIS (Muundo wa Taarifa ya Kadi), baadhi ya miingiliano ya ACPI na CPU. Rejesta za MSR, simu za kexec_file na kexec_load zimezuiwa, hali ya kulala imepigwa marufuku, matumizi ya DMA kwa vifaa vya PCI ni mdogo, uingizaji wa msimbo wa ACPI kutoka kwa vigeu vya EFI umepigwa marufuku,
Udanganyifu na bandari za I/O haziruhusiwi, ikiwa ni pamoja na kubadilisha nambari ya kukatiza na mlango wa I/O kwa mlango wa mfululizo.
Kwa chaguo-msingi, moduli ya kufunga haifanyi kazi, hujengwa wakati chaguo la SECURITY_LOCKDOWN_LSM limebainishwa katika kconfig na huwashwa kupitia kigezo cha kernel "lockdown=", faili ya kudhibiti "/sys/kernel/security/lockdown" au chaguzi za mkusanyiko.
Ni muhimu kutambua kwamba kufuli kunazuia tu ufikiaji wa kawaida kwa kernel, lakini hailinde dhidi ya marekebisho kama matokeo ya unyonyaji wa udhaifu. Ili kuzuia mabadiliko kwenye kernel inayoendesha wakati matumizi yanatumiwa na mradi wa Openwall
Chanzo: opennet.ru