Linus Torvalds
Agar tajovuzkor ildiz huquqlari bilan kod bajarilishiga erishsa, u o'z kodini yadro darajasida bajarishi mumkin, masalan, kexec yordamida yadroni almashtirish yoki /dev/kmem orqali xotirani o'qish/yozish. Bunday faoliyatning eng aniq natijasi bo'lishi mumkin
Dastlab, ildizni cheklash funktsiyalari tasdiqlangan yuklash himoyasini kuchaytirish kontekstida ishlab chiqilgan va tarqatishlar ancha vaqtdan beri UEFI Secure Boot-ni chetlab o'tishni bloklash uchun uchinchi tomon yamoqlaridan foydalanmoqda. Shu bilan birga, bunday cheklovlar yadroning asosiy tarkibiga kiritilmagan
Bloklash rejimi /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes disk raskadrovka rejimi, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), baʼzi ACPI interfeyslari va protsessorlarga kirishni cheklaydi. MSR registrlari, kexec_file va kexec_load qo'ng'iroqlari bloklangan, uyqu rejimi taqiqlangan, PCI qurilmalari uchun DMA foydalanish cheklangan, EFI o'zgaruvchilardan ACPI kodini import qilish taqiqlangan,
I/U portlari bilan manipulyatsiyaga ruxsat berilmaydi, shu jumladan uzilish raqamini va ketma-ket port uchun kirish/chiqish portini o'zgartirish.
Odatiy bo'lib, blokirovka moduli faol emas, u SECURITY_LOCKDOWN_LSM parametri kconfig da ko'rsatilganda quriladi va yadro parametri "lockdown =", "/sys/kernel/security/lockdown" boshqaruv fayli yoki yig'ish opsiyalari orqali faollashtiriladi.
Shuni ta'kidlash kerakki, blokirovka faqat yadroga standart kirishni cheklaydi, ammo zaifliklardan foydalanish natijasida o'zgarishlardan himoya qilmaydi. Openwall loyihasi tomonidan ekspluatatsiyalardan foydalanilganda ishlaydigan yadrodagi o'zgarishlarni bloklash uchun
Manba: opennet.ru