Qufulka, korsashada cusub ee Linux kernel si loo xaddido marin u helidda xididka

Darkcrizt

Daqiiqado 4

Kernel Linux

Warka ayaa goor dhow faafiyay taas Linus Torvalds ayaa qaatay qayb cusub, oo lagu dari doono nooc mustaqbalka ah oo ah "Linux 5.4" kernel. qaybtan cusub ayaa leh magaca "Lockdown" oo uu soo jeediyay David Howells (yaa horay uga hirgaliyay qaybtaan Red Hat Kernel) iyo Matthew Garrett (horumariyaha Google).

Shaqada ugu weyn ee qufulka ayaa ah in la xadido marin u helka isticmaalaha xididka geedka nidaamka iyo shaqadan waxaa loo wareejiyay qaybta LSM ikhtiyaar ahaan looxidho (Linux Security Module), taas oo waxay kala dhigtaa caqabad udhaxeysa UID 0 iyo jirkeeda, xaddidaya shaqooyinka heerka hoose qaarkood.

Tani waxay u oggolaaneysaa hawsha qufulku inay ahaato mid siyaasad ku saleysan halkii ay si adag u codeyn lahayd siyaasad maldahan oo ku dhex jirta habka sidaa darteed qufulka lagu soo daray Linux Security Module wuxuu bixiyaa fulin leh siyaasad fudud loogu talagalay in loo isticmaalo guud. Nidaamkani wuxuu bixiyaa heer ah granularity la xakameyn karo iyada oo loo marayo xariijinta amarka kernel.

Ilaalintan marin u helida Nucleus waxaa u sabab ah:

Haddii weeraryahanku ku guuleysto inuu fuliyo koodh leh xuquuq aasaasi ah oo ka dhalatay weerarka, wuxuu sidoo kale fulin karaa koodhkiisa heerka kernel, tusaale ahaan, isagoo ku beddelaya kernel kexec ama akhris iyo / ama xusuus qor ah illaa / dev / kmem.

Cawaaqibka ugu caansan ee hawshani waxay noqon kartaa inuu dhaafo Bootka Amniga ee UEFI ama soo kabashada xogta sirta ah ee lagu kaydiyo heerka kernel-ka.

Markii hore, shaqooyinka xaddidaadda xididada waxaa lagu sameeyay qaabkii loo xoojin lahaa ilaalinta kabaha la xaqiijiyay iyo qaybinta waxay isticmaaleysay dhejisyo dhinac saddexaad ah muddo dheer si loo joojiyo istiraatiijiyadda amniga ee UEFI.

Isla mar ahaantaana, caqabadaha noocan oo kale ah laguma darin aasaaska aasaasiga ah ee khilaafaadka fulintiisa iyo cabsida khalkhalgelinta nidaamyada jira. Moodalka "qufulka" wuxuu ku darayaa jajabyo horeyba loogu adeegsaday qaybinta, kuwaas oo lagu farsameeyay qaab nidaam hoosaad gaar ah oo aan ku xidhnayn bootI Secure Boot.

Marka la kartiyeeyo, qaybo kala duwan oo ka mid ah shaqaynta jirku waa xaddidan yihiin. Sidaa darteed codsiyada ku tiirsan qalabka heerka hoose ama marinka kernel ayaa joojin kara shaqada natiijada, sidaa darteed tani waa in aan la awoodin iyada oo aan qiimeyn habboon la sii marin ka hor. Linus Torvalds faallooyin.

Xilliga xiritaanka, xaddid helitaanka / dev / mem, / dev / kmem, / dev / deked, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, raad, BPF, PCMCIA CIS (macluumaadka kaarka aamin), qaar ACPI ah iyo diiwaangelinta CPU MSR, kexec_file iyo wicitaanada kexec_load waa la xannibay, habka hurdada waa la mamnuucay, isticmaalka DMA ee qalabka PCI waa xaddidan yahay, soo dejinta lambarka ACPI ee doorsoomayaasha EFI waa la mamnuucay, maareynta dekedaha la gelinayo / wax soo saarka, oo ay ku jiraan isbeddelka lambarka iyo gelitaanka / dekedda wax soo saarka ee dekedda taxanaha ah lama oggola.

By default, module shaqo joojinta ma aha mid firfircoon; waxaa la sameeyaa markii la doorto SECURITY_LOCKDOWN_LSM ikhtiyaarka kconfig waxaana lagu dhaqaajiyaa halbeegga 'kernel = ", faylka xakamaynta" / sys / kernel / amniga / qufulka "ama xulashooyinka isku-darka LOCK_DOWN_KERNEL_FORCE_ *, oo qaadan kara qiimayaasha "daacadnimo" iyo "qarsoodi".

Xaaladda koowaad, shaqooyinka u oggolaanaya isbeddelada yar yar ee shaqada ee goobta isticmaalaha waa la xannibay, iyo tan labaad, marka lagu daro tan, shaqeynta loo adeegsan karo in laga soo saaro macluumaadka qarsoodiga ah ee kernelku waa mid naafo ah.

Waxaa muhiim ah in la ogaado in qufulku uu xaddidayo awoodda marin-u-helidda caadiga ah, laakiin kama ilaalinayso wax ka beddelka ku yimaadda ka faa'iideysiga nuglaanta. Si looga hortago isbeddelada ku dhaca kernel-ka shaqada marka mashruuca Openwall uu adeegsado ka faa'iideysiga, waxaa la soo saarayaa qayb ka duwan LKRG (Linux Kernel Runtime Guard).

Shaqada qufulku wuxuu lahaa dib u eegis naqshadeyn muhiim ah iyo faallooyin ku saabsan nidaamyo badan. Koodhkani wuxuu ku jiray Linux-soo socda dhowr toddobaad hadda, iyada oo dhowr hagaajin lagu dabaqay jidka.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   01x01 dijo
    samee 5 sano

    Xididku waa inuu ka badnaadaa ilaah. Waa inuu noqdaa kan ugu awooda badan.
    laakiin waxay umuuqataa inay rabaan inay yareeyaan xaqa isticmaalaha rasmiga ah ee Root iyagoo ka doorbidaya iyaga
    Waxaan ku soconeynaa si xun markii "wareegga amniga" loo adeegsado in lagu xadido xorriyadda isticmaalka iyo maamulka.
    xun waxaan u soconaa marka iniintu aysan ka badneyn nuqul ka mid ah windolais iyo macais metedology

    Jawaab 01x01