Linus Torvalds
Ti ikọlu ba ṣaṣeyọri ipaniyan koodu pẹlu awọn ẹtọ gbongbo, o le ṣiṣẹ koodu rẹ ni ipele ekuro, fun apẹẹrẹ, nipa rirọpo ekuro nipa lilo kexec tabi kika/kikọ iranti nipasẹ /dev/kmem. Abajade ti o han gbangba julọ ti iru iṣẹ ṣiṣe le jẹ
Ni ibẹrẹ, awọn iṣẹ hihamọ gbongbo ni idagbasoke ni ipo ti okunkun aabo ti bata idaniloju, ati awọn pinpin ti nlo awọn abulẹ ẹni-kẹta lati ṣe idiwọ fori ti UEFI Secure Boot fun igba diẹ. Ni akoko kanna, iru awọn ihamọ bẹ ko si ninu akopọ akọkọ ti ekuro nitori
Ipo titiipa ṣe ihamọ iwọle si / dev/mem, / dev/kmem, / dev/port, /proc/kcore, debugfs, ipo yokokoro kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Ilana Alaye Kaadi), diẹ ninu awọn atọkun ACPI ati Sipiyu Awọn iforukọsilẹ MSR, kexec_file ati awọn ipe kexec_load jẹ idinamọ, ipo oorun ti ni idinamọ, lilo DMA fun awọn ẹrọ PCI ti ni opin, koodu ACPI wọle lati awọn oniyipada EFI jẹ eewọ,
Awọn ifọwọyi pẹlu awọn ebute oko I/O ko gba laaye, pẹlu iyipada nọmba idalọwọduro ati ibudo I/O fun ibudo ni tẹlentẹle.
Nipa aiyipada, module titiipa ko ṣiṣẹ, o ti kọ nigbati aṣayan SECURITY_LOCKDOWN_LSM ti wa ni pato ni kconfig ati pe o mu ṣiṣẹ nipasẹ paramita ekuro “lockdown =”, faili iṣakoso “/ sys/kernel/aabo/titiipa”tabi awọn aṣayan apejọ
O ṣe pataki lati ṣe akiyesi pe titiipa nikan ṣe idinwo iwọle boṣewa si ekuro, ṣugbọn ko daabobo lodi si awọn iyipada bi abajade ilokulo ti awọn ailagbara. Lati dènà awọn iyipada si ekuro ti nṣiṣẹ nigbati awọn iṣiṣẹ jẹ lilo nipasẹ iṣẹ-ṣiṣe Openwall
orisun: opennet.ru