ProHoster > Блог > ayelujara iroyin > Ekuro Linux 5.4 ti gba awọn abulẹ lati ṣe idinwo iwọle gbongbo si awọn inu ekuro

Ekuro Linux 5.4 ti gba awọn abulẹ lati ṣe idinwo iwọle gbongbo si awọn inu ekuro

Linus Torvalds gba to wa ninu itusilẹ ti n bọ ti ekuro Linux 5.4 jẹ eto awọn abulẹ kan "titiipa« dabaa David Howells (Red Hat) ati Matthew Garrett (Matthew garrett, ṣiṣẹ ni Google) lati ni ihamọ wiwọle olumulo root si ekuro. Iṣẹ ṣiṣe ti o ni ibatan titiipa wa ninu module LSM ti o kojọpọ ni yiyan (Modulu Aabo Linux), eyiti o gbe idena kan laarin UID 0 ati ekuro, ni ihamọ iṣẹ ṣiṣe ipele kekere kan.

Ti ikọlu ba ṣaṣeyọri ipaniyan koodu pẹlu awọn ẹtọ gbongbo, o le ṣiṣẹ koodu rẹ ni ipele ekuro, fun apẹẹrẹ, nipa rirọpo ekuro nipa lilo kexec tabi kika/kikọ iranti nipasẹ /dev/kmem. Abajade ti o han gbangba julọ ti iru iṣẹ ṣiṣe le jẹ detour UEFI Secure Boot tabi gbigba data ifura ti o fipamọ ni ipele ekuro.

Ni ibẹrẹ, awọn iṣẹ hihamọ gbongbo ni idagbasoke ni ipo ti okunkun aabo ti bata idaniloju, ati awọn pinpin ti nlo awọn abulẹ ẹni-kẹta lati ṣe idiwọ fori ti UEFI Secure Boot fun igba diẹ. Ni akoko kanna, iru awọn ihamọ bẹ ko si ninu akopọ akọkọ ti ekuro nitori aiyede ni imuse wọn ati awọn ibẹru ti idalọwọduro si awọn eto ti o wa tẹlẹ. Awọn abulẹ “titiipa” ti o gba awọn abulẹ ti a ti lo tẹlẹ ninu awọn ipinpinpin, eyiti a tun ṣe ni irisi eto-ipin lọtọ ti ko so mọ Boot Secure UEFI.

Ipo titiipa ṣe ihamọ iwọle si / dev/mem, / dev/kmem, / dev/port, /proc/kcore, debugfs, ipo yokokoro kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Ilana Alaye Kaadi), diẹ ninu awọn atọkun ACPI ati Sipiyu Awọn iforukọsilẹ MSR, kexec_file ati awọn ipe kexec_load jẹ idinamọ, ipo oorun ti ni idinamọ, lilo DMA fun awọn ẹrọ PCI ti ni opin, koodu ACPI wọle lati awọn oniyipada EFI jẹ eewọ,
Awọn ifọwọyi pẹlu awọn ebute oko I/O ko gba laaye, pẹlu iyipada nọmba idalọwọduro ati ibudo I/O fun ibudo ni tẹlentẹle.

Nipa aiyipada, module titiipa ko ṣiṣẹ, o ti kọ nigbati aṣayan SECURITY_LOCKDOWN_LSM ti wa ni pato ni kconfig ati pe o mu ṣiṣẹ nipasẹ paramita ekuro “lockdown =”, faili iṣakoso “/ sys/kernel/aabo/titiipa”tabi awọn aṣayan apejọ LOCK_DOWN_KERNEL_FORCE_*, eyi ti o le gba awọn iye "iduroṣinṣin" ati "aṣiri". Ni ọran akọkọ, awọn ẹya ti o gba laaye lati ṣe awọn ayipada si ekuro nṣiṣẹ lati aaye olumulo ti dina, ati ninu ọran keji, iṣẹ ṣiṣe ti o le ṣee lo lati yọ alaye ifura lati ekuro tun jẹ alaabo.

O ṣe pataki lati ṣe akiyesi pe titiipa nikan ṣe idinwo iwọle boṣewa si ekuro, ṣugbọn ko daabobo lodi si awọn iyipada bi abajade ilokulo ti awọn ailagbara. Lati dènà awọn iyipada si ekuro ti nṣiṣẹ nigbati awọn iṣiṣẹ jẹ lilo nipasẹ iṣẹ-ṣiṣe Openwall ndagba lọtọ module LKRG (Linux Kernel Runtime Guard).

orisun: opennet.ru

Fi ọrọìwòye kun