லினஸ் டொர்வால்ட்ஸ் லினக்ஸ் 5.4 கர்னலின் வரவிருக்கும் வெளியீட்டில் சேர்க்கப்பட்டுள்ளது இணைப்புகளின் தொகுப்பு "", டேவிட் ஹோவெல்ஸ் (ரெட் ஹாட்) மற்றும் மேத்யூ காரெட் (, கர்னலுக்கான ரூட் பயனர் அணுகலைக் கட்டுப்படுத்த, Google இல் வேலை செய்கிறது. பூட்டுதல் தொடர்பான செயல்பாடு விருப்பமாக ஏற்றப்பட்ட LSM தொகுதியில் சேர்க்கப்பட்டுள்ளது (), இது UID 0 மற்றும் கர்னலுக்கு இடையே ஒரு தடையை ஏற்படுத்துகிறது, இது சில குறைந்த-நிலை செயல்பாடுகளை கட்டுப்படுத்துகிறது.
ஒரு தாக்குபவர் ரூட் உரிமைகளுடன் குறியீடு செயல்படுத்தலை அடைந்தால், அவர் தனது குறியீட்டை கர்னல் மட்டத்தில் இயக்கலாம், எடுத்துக்காட்டாக, கர்னலை kexec ஐப் பயன்படுத்தி அல்லது /dev/kmem வழியாக வாசிப்பு/எழுதுதல் நினைவகத்தை மாற்றுவதன் மூலம். இத்தகைய செயல்பாட்டின் மிகத் தெளிவான விளைவு இருக்கலாம் UEFI செக்யூர் பூட் அல்லது கர்னல் மட்டத்தில் சேமிக்கப்பட்ட முக்கியமான தரவை மீட்டெடுக்கிறது.
ஆரம்பத்தில், சரிபார்க்கப்பட்ட துவக்கத்தின் பாதுகாப்பை வலுப்படுத்தும் சூழலில் ரூட் கட்டுப்பாடு செயல்பாடுகள் உருவாக்கப்பட்டன, மேலும் விநியோகங்கள் சில காலமாக UEFI செக்யூர் பூட்டின் பைபாஸைத் தடுக்க மூன்றாம் தரப்பு இணைப்புகளைப் பயன்படுத்துகின்றன. அதே நேரத்தில், அத்தகைய கட்டுப்பாடுகள் காரணமாக கர்னலின் முக்கிய கலவையில் சேர்க்கப்படவில்லை அவற்றின் செயல்படுத்தல் மற்றும் ஏற்கனவே உள்ள அமைப்புகளுக்கு இடையூறு ஏற்படும் என்ற அச்சம். "லாக்டவுன்" தொகுதி ஏற்கனவே விநியோகங்களில் பயன்படுத்தப்பட்ட இணைப்புகளை உறிஞ்சியது, அவை UEFI பாதுகாப்பான துவக்கத்துடன் இணைக்கப்படாத ஒரு தனி துணை அமைப்பின் வடிவத்தில் மறுவடிவமைப்பு செய்யப்பட்டன.
லாக்டவுன் பயன்முறையானது /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), சில ACPI இடைமுகங்கள் மற்றும் CPU ஆகியவற்றுக்கான அணுகலை கட்டுப்படுத்துகிறது. MSR பதிவுகள், kexec_file மற்றும் kexec_load அழைப்புகள் தடுக்கப்பட்டுள்ளன, தூக்க பயன்முறை தடைசெய்யப்பட்டுள்ளது, PCI சாதனங்களுக்கான DMA பயன்பாடு குறைவாக உள்ளது, EFI மாறிகளில் இருந்து ACPI குறியீட்டை இறக்குமதி செய்வது தடைசெய்யப்பட்டுள்ளது,
தொடர் போர்ட்டிற்கான குறுக்கீடு எண் மற்றும் I/O போர்ட் ஆகியவற்றை மாற்றுவது உட்பட I/O போர்ட்களுடன் கையாளுதல்கள் அனுமதிக்கப்படாது.
முன்னிருப்பாக, லாக்டவுன் தொகுதி செயலில் இல்லை, இது SECURITY_LOCKDOWN_LSM விருப்பம் kconfig இல் குறிப்பிடப்பட்டிருக்கும் போது கட்டமைக்கப்படுகிறது மற்றும் கர்னல் அளவுருவான "lockdown=", கட்டுப்பாட்டு கோப்பு "/sys/kernel/security/lockdown" அல்லது சட்டசபை விருப்பங்கள் மூலம் செயல்படுத்தப்படுகிறது. , இது "ஒருமைப்பாடு" மற்றும் "ரகசியம்" மதிப்புகளை எடுக்கலாம். முதல் வழக்கில், பயனர் இடத்திலிருந்து இயங்கும் கர்னலில் மாற்றங்களைச் செய்ய அனுமதிக்கும் அம்சங்கள் தடுக்கப்படுகின்றன, மேலும் இரண்டாவது வழக்கில், கர்னலில் இருந்து முக்கியமான தகவல்களைப் பிரித்தெடுக்கப் பயன்படும் செயல்பாடும் முடக்கப்படும்.
லாக்டவுன் கர்னலுக்கான நிலையான அணுகலை மட்டுமே கட்டுப்படுத்துகிறது, ஆனால் பாதிப்புகளைச் சுரண்டுவதன் விளைவாக மாற்றங்களிலிருந்து பாதுகாக்காது என்பதைக் கவனத்தில் கொள்ள வேண்டும். Openwall திட்டத்தால் சுரண்டல்கள் பயன்படுத்தப்படும் போது இயங்கும் கர்னலில் ஏற்படும் மாற்றங்களைத் தடுக்க தனி தொகுதி (Linux Kernel Runtime Guard).
ஆதாரம்: opennet.ru