बातमीने अलीकडेच ती फोडली लिनस टोरवाल्ड्सने एक नवीन घटक स्वीकारला, जो भविष्यात "लिनक्स 5.4" कर्नलच्या आवृत्तीत समाविष्ट केला जाईल. या नवीन घटकाला नाव आहे "लॉकडाउन" जो डेव्हिड होवेल्सने प्रस्तावित केला होता (यापूर्वी रेड हॅट कर्नलमध्ये हा घटक लागू केला आहे) आणि मॅथ्यू गॅरेट (गूगल विकसक).
लॉकडाउनचे मुख्य कार्य म्हणजे सिस्टमच्या कर्नलपर्यंत रूट वापरकर्त्याचा प्रवेश मर्यादित करणे आणि ही कार्यक्षमता LSM मॉड्यूलमध्ये हलविला गेला आहे वैकल्पिकरित्या लोड केलेले (लिनक्स सुरक्षा मॉड्यूल), जे यूआयडी 0 आणि कर्नल दरम्यान अडथळा निर्माण करते, विशिष्ट निम्न-स्तरीय कार्ये मर्यादित करते.
हे लॉकिंग फंक्शनला यंत्रणेमध्ये अंतर्निहित पॉलिसीचे हार्ड-कोडिंग करण्याऐवजी धोरण-आधारित राहण्याची परवानगी देते, म्हणून लिनक्स सुरक्षा मॉड्यूलमध्ये समाविष्ट केलेला लॉक एका साध्या पॉलिसीसह अंमलबजावणी प्रदान करते सामान्य वापरासाठी हेतू आहे. हे धोरण कर्नल कमांड लाइनद्वारे ग्रॅन्युलॅरिटी नियंत्रणासाठी एक स्तर प्रदान करते.
न्यूक्लियसमध्ये प्रवेश करण्याचे हे संरक्षण या कारणामुळे आहेः
हल्ल्याच्या परिणामी एखादा आक्रमणकर्ता रूट विशेषाधिकारांसह कोड अंमलात आणण्यात यशस्वी ठरला तर, तो कर्नल स्तरावरही आपला कोड कार्यान्वित करू शकतो, उदाहरणार्थ, कर्नलची जागा केक्सेकसह बदलणे किंवा / किंवा मेमरी / dev / kmem द्वारे लिहिणे.
या क्रियेचा सर्वात स्पष्ट परिणाम म्हणजे यूईएफआय सिक्योर बूटला मागे टाकणे किंवा कर्नल स्तरावर संचयित केलेला गोपनीय डेटा पुनर्प्राप्त करणे.
सुरुवातीला, रूट प्रतिबंध कार्ये सत्यापित बूट संरक्षण मजबूत करण्याच्या संदर्भात विकसित केली गेली आणि यूईएफआय सुरक्षित बूट बायपास अवरोधित करण्यासाठी वितरणाद्वारे बर्याच दिवसांपासून थर्ड-पार्टी पॅच वापरत आहेत.
त्याच वेळी मतभेदांमुळे अशा निर्बंध कोरच्या मूलभूत रचनांमध्ये समाविष्ट केलेले नव्हते त्याच्या अंमलबजावणीमध्ये आणि विद्यमान यंत्रणा बिघडण्याची भीती आहे. "लॉकडाउन" मॉड्यूलमध्ये वितरणामध्ये आधीपासून वापरलेले पॅचेस समाविष्ट आहेत, ज्याची प्रक्रिया स्वतंत्र उपसिस्टमच्या रूपात केली गेली आहे जी यूईएफआय सिक्योर बूटला जोडलेली नाही.
सक्षम केलेले असताना, कर्नल कार्यक्षमतेचे विविध तुकडे प्रतिबंधित आहेत. म्हणूनच जे अनुप्रयोग निम्न-स्तरीय हार्डवेअर किंवा कर्नल प्रवेशावर अवलंबून असतात त्यांचे परिणाम कार्य करणे थांबवू शकते, म्हणूनच योग्य मूल्यांकन केल्याशिवाय हे सक्षम केले जाऊ नये. लिनस टोरवाल्ड्स टिप्पण्या.
लॉकडाउन मोडमध्ये, / देव / मेम, / देव / केएम, / देव / पोर्ट, / सीओआर / कोकोर, डिबग्स, डिबग्स, डीबगफ्स केप्रोब्स, एममिओट्रेस, ट्रेसफेस, बीपीएफ, पीसीएमसीआय सीआयएस (कार्ड माहिती सुरक्षित), काही एसीपीआय आणि सीपीयू एमएसआर नोंदणी, केक्सेक_फाइल आणि केक्सेक_लोड कॉल अवरोधित आहेत, स्लीप मोड प्रतिबंधित आहे, पीसीआय उपकरणांसाठी डीएमएचा वापर मर्यादित आहे, ईएफआय व्हेरिएबल्समधून एसीपीआय कोड आयात करणे प्रतिबंधित आहे, व्यत्यय क्रमांक आणि इनपुट बदलण्यासह पोर्टस् इनपुट / आउटपुटसह कुशलतेसह हाताळणे / सिरियल पोर्टसाठी आउटपुट पोर्टला परवानगी नाही.
डीफॉल्टनुसार, लॉकआउट मॉड्यूल सक्रिय नाही; जेव्हा केकनिफिगमध्ये SECURITY_LOCKDOWN_LSM पर्याय निर्दिष्ट केला जातो आणि तो कर्नल पॅरामीटर "लॉकडाउन =", कंट्रोल फाइल "/ sys / कर्नल / सुरक्षा / लॉकडाउन" किंवा संकलन पर्याय LOCK_DOWN_KERNEL_FORCE_ * द्वारे सक्रिय केला जातो, जे त्याचे मूल्य घेऊ शकतात "अखंडता" आणि "गोपनीयता".
पहिल्या प्रकरणात, युजर स्पेसवरून कर्नलमध्ये बदल करण्याची परवानगी देणारी फंक्शन्स लॉक केली आहेत. आणि दुसर्या प्रकरणात या व्यतिरिक्त, कर्नलमधून गोपनीय माहिती काढण्यासाठी वापरल्या जाणार्या कार्यक्षमता अक्षम केली आहे.
हे लक्षात घेणे महत्वाचे आहे की लॉक करणे केवळ नियमित कर्नल प्रवेश क्षमता मर्यादित करते, परंतु असुरक्षा शोषण करण्याच्या परिणामी हे बदल करण्यापासून संरक्षण देत नाही. ओपनवॉल प्रोजेक्ट शोषणांचा वापर करते तेव्हा कार्यरत कर्नलमधील बदल अवरोधित करण्यासाठी, स्वतंत्र एलकेआरजी (लिनक्स कर्नल रनटाइम गार्ड) मॉड्यूल विकसित केले जात आहे.
लॉकडाउन फंक्शनमध्ये बर्याच उपप्रणालींवर महत्त्वपूर्ण डिझाइन पुनरावलोकने आणि टिप्पण्या आहेत. हा कोड आता काही आठवड्यांकरिता लिनक्स-नेक्स्टमध्ये आहे, त्या मार्गात काही निराकरणे लागू केल्या आहेत.
रूट देव पेक्षा अधिक असावे. हे सर्व शक्तिशाली असावे.
परंतु असे दिसते की त्यांना त्यांच्या बाजूने कायदेशीर वापरकर्ता रूटचा अधिकार मर्यादित करायचा आहे
जेव्हा "सर्कसची सुरक्षा" वापर आणि व्यवस्थापनाची स्वातंत्र्य मर्यादित करण्यासाठी वापरली जाते तेव्हा आम्ही वाईट रीतीने जात आहोत.
वाईट आम्ही जातो जेव्हा कर्नल विंडोलाईस आणि मॅकेइस मेटेओलॉजीच्या प्रतिपेक्षा काहीच नसते