لینس ٹوروالڈس لینکس 5.4 کرنل کی آنے والی ریلیز میں شامل پیچ کا ایک سیٹ ہے ""، ڈیوڈ ہولز (ریڈ ہیٹ) اور میتھیو گیریٹ (، گوگل پر کام کرتا ہے) کرنل تک روٹ صارف کی رسائی کو محدود کرنے کے لیے۔ لاک ڈاؤن سے متعلق فعالیت اختیاری طور پر بھری ہوئی LSM ماڈیول میں شامل ہے ()، جو UID 0 اور دانا کے درمیان رکاوٹ ڈالتا ہے، کچھ کم سطحی فعالیت کو محدود کرتا ہے۔
اگر کوئی حملہ آور روٹ رائٹس کے ساتھ کوڈ پر عمل درآمد کر لیتا ہے، تو وہ کرنل کی سطح پر اپنے کوڈ پر عمل درآمد کر سکتا ہے، مثال کے طور پر، kexec کا استعمال کرتے ہوئے کرنل کو تبدیل کر کے یا /dev/kmem کے ذریعے میموری کو پڑھنا/لکھنا۔ اس طرح کی سرگرمی کا سب سے واضح نتیجہ ہوسکتا ہے۔ UEFI سیکیور بوٹ یا کرنل لیول پر محفوظ کردہ حساس ڈیٹا کو بازیافت کرنا۔
ابتدائی طور پر، تصدیق شدہ بوٹ کے تحفظ کو مضبوط بنانے کے تناظر میں روٹ پابندی کے افعال تیار کیے گئے تھے، اور تقسیمیں کافی عرصے سے UEFI سیکیور بوٹ کے بائی پاس کو روکنے کے لیے تھرڈ پارٹی پیچ استعمال کر رہی ہیں۔ ایک ہی وقت میں، اس طرح کی پابندیوں کی وجہ سے دانا کی اہم ساخت میں شامل نہیں کیا گیا تھا ان کے نفاذ اور موجودہ نظاموں میں خلل پڑنے کے خدشات میں۔ "لاک ڈاؤن" ماڈیول نے پہلے سے ہی ڈسٹری بیوشنز میں استعمال ہونے والے پیچ کو جذب کیا، جنہیں ایک الگ سب سسٹم کی شکل میں دوبارہ ڈیزائن کیا گیا تھا جو UEFI سیکیور بوٹ سے منسلک نہیں تھا۔
لاک ڈاؤن موڈ /dev/mem، /dev/kmem، /dev/port، /proc/kcore، debugfs، kprobes ڈیبگ موڈ، mmiotrace، tracefs، BPF، PCMCIA CIS (کارڈ انفارمیشن سٹرکچر)، کچھ ACPI انٹرفیس اور CPU تک رسائی کو محدود کرتا ہے۔ MSR رجسٹر، kexec_file اور kexec_load کالز مسدود ہیں، سلیپ موڈ ممنوع ہے، PCI آلات کے لیے DMA کا استعمال محدود ہے، EFI متغیرات سے ACPI کوڈ کی درآمد ممنوع ہے،
I/O پورٹ کے ساتھ ہیرا پھیری کی اجازت نہیں ہے، بشمول سیریل پورٹ کے لیے انٹرپٹ نمبر اور I/O پورٹ کو تبدیل کرنا۔
پہلے سے طے شدہ طور پر، لاک ڈاؤن ماڈیول فعال نہیں ہوتا ہے، یہ اس وقت بنایا جاتا ہے جب SECURITY_LOCKDOWN_LSM آپشن kconfig میں بیان کیا جاتا ہے اور اسے کرنل پیرامیٹر "lockdown="، کنٹرول فائل "/sys/kernel/security/lockdown" یا اسمبلی کے اختیارات کے ذریعے فعال کیا جاتا ہے۔ ، جو "سالمیت" اور "رازداری" کی اقدار کو لے سکتا ہے۔ پہلی صورت میں، وہ خصوصیات جو صارف کی جگہ سے چلنے والے کرنل میں تبدیلیاں کرنے کی اجازت دیتی ہیں، کو مسدود کر دیا جاتا ہے، اور دوسری صورت میں، دانا سے حساس معلومات نکالنے کے لیے استعمال ہونے والی فعالیت کو بھی غیر فعال کر دیا جاتا ہے۔
یہ نوٹ کرنا ضروری ہے کہ لاک ڈاؤن صرف دانا تک معیاری رسائی کو محدود کرتا ہے، لیکن کمزوریوں کے استحصال کے نتیجے میں ہونے والی تبدیلیوں سے تحفظ نہیں دیتا۔ اوپن وال پروجیکٹ کے ذریعہ استحصال کا استعمال ہونے پر چلنے والے دانا میں تبدیلیوں کو روکنے کے لئے علیحدہ ماڈیول (لینکس کرنل رن ٹائم گارڈ)۔
ماخذ: opennet.ru