லினஸ் டொர்வால்ட்ஸ்
ஒரு தாக்குபவர் ரூட் உரிமைகளுடன் குறியீடு செயல்படுத்தலை அடைந்தால், அவர் தனது குறியீட்டை கர்னல் மட்டத்தில் இயக்கலாம், எடுத்துக்காட்டாக, கர்னலை kexec ஐப் பயன்படுத்தி அல்லது /dev/kmem வழியாக வாசிப்பு/எழுதுதல் நினைவகத்தை மாற்றுவதன் மூலம். இத்தகைய செயல்பாட்டின் மிகத் தெளிவான விளைவு இருக்கலாம்
ஆரம்பத்தில், சரிபார்க்கப்பட்ட துவக்கத்தின் பாதுகாப்பை வலுப்படுத்தும் சூழலில் ரூட் கட்டுப்பாடு செயல்பாடுகள் உருவாக்கப்பட்டன, மேலும் விநியோகங்கள் சில காலமாக UEFI செக்யூர் பூட்டின் பைபாஸைத் தடுக்க மூன்றாம் தரப்பு இணைப்புகளைப் பயன்படுத்துகின்றன. அதே நேரத்தில், அத்தகைய கட்டுப்பாடுகள் காரணமாக கர்னலின் முக்கிய கலவையில் சேர்க்கப்படவில்லை
லாக்டவுன் பயன்முறையானது /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), சில ACPI இடைமுகங்கள் மற்றும் CPU ஆகியவற்றுக்கான அணுகலை கட்டுப்படுத்துகிறது. MSR பதிவுகள், kexec_file மற்றும் kexec_load அழைப்புகள் தடுக்கப்பட்டுள்ளன, தூக்க பயன்முறை தடைசெய்யப்பட்டுள்ளது, PCI சாதனங்களுக்கான DMA பயன்பாடு குறைவாக உள்ளது, EFI மாறிகளில் இருந்து ACPI குறியீட்டை இறக்குமதி செய்வது தடைசெய்யப்பட்டுள்ளது,
தொடர் போர்ட்டிற்கான குறுக்கீடு எண் மற்றும் I/O போர்ட் ஆகியவற்றை மாற்றுவது உட்பட I/O போர்ட்களுடன் கையாளுதல்கள் அனுமதிக்கப்படாது.
முன்னிருப்பாக, லாக்டவுன் தொகுதி செயலில் இல்லை, இது SECURITY_LOCKDOWN_LSM விருப்பம் kconfig இல் குறிப்பிடப்பட்டிருக்கும் போது கட்டமைக்கப்படுகிறது மற்றும் கர்னல் அளவுருவான "lockdown=", கட்டுப்பாட்டு கோப்பு "/sys/kernel/security/lockdown" அல்லது சட்டசபை விருப்பங்கள் மூலம் செயல்படுத்தப்படுகிறது.
லாக்டவுன் கர்னலுக்கான நிலையான அணுகலை மட்டுமே கட்டுப்படுத்துகிறது, ஆனால் பாதிப்புகளைச் சுரண்டுவதன் விளைவாக மாற்றங்களிலிருந்து பாதுகாக்காது என்பதைக் கவனத்தில் கொள்ள வேண்டும். Openwall திட்டத்தால் சுரண்டல்கள் பயன்படுத்தப்படும் போது இயங்கும் கர்னலில் ஏற்படும் மாற்றங்களைத் தடுக்க
ஆதாரம்: opennet.ru