আন্দ্রে কোনোভালভ গুগল সফটওয়্যার ইঞ্জিনিয়ার, দূরবর্তী অবস্থান থেকে সুরক্ষা অক্ষম করার জন্য একটি পদ্ধতি উন্মোচন করে তালাবদ্ধ উবুন্টুতে সরবরাহিত লিনাক্স কার্নেলের মধ্যে দেওয়া। যা দিয়ে দেখায় যে সুরক্ষা পদ্ধতিগুলি অকার্যকর, এছাড়াও তিনি উল্লেখ করেছেন যে তিনি তাত্ত্বিকভাবে প্রকাশিত পদ্ধতিগুলি ফেডোরা কার্নেল এবং অন্যান্য বিতরণগুলির সাথেও কাজ করা উচিত, (তবে এটি পরীক্ষা করা হয়নি)।
লকডাউন সম্পর্কে অজ্ঞাত তাদের জন্য, তাদের জানা উচিত যে এটি লিনাক্স কার্নেলের একটি উপাদান সিস্টেমের কার্নেলের মধ্যে রুট ব্যবহারকারীর অ্যাক্সেস সীমাবদ্ধ করা এর প্রধান কাজ এবং এই কার্যকারিতা এলএসএম মডিউলে সরানো হয়েছে allyচ্ছিকভাবে লোড করা (লিনাক্স সুরক্ষা মডিউল), যা ইউআইডি 0 এবং কার্নেলের মধ্যে একটি বাধা স্থাপন করে, কিছু নিম্ন-স্তরের ফাংশন সীমাবদ্ধ।
এটি লকআউট কার্যকে মেকানিজমের মধ্যে অন্তর্নিহিত নীতিটিকে হার্ড-কোডিংয়ের পরিবর্তে নীতি-ভিত্তিক হতে দেয়, সুতরাং লিনাক্স সুরক্ষা মডিউল অন্তর্ভুক্ত লক একটি সহজ নীতি সহ একটি বাস্তবায়ন সরবরাহ করে সাধারণ ব্যবহারের জন্য উদ্দিষ্ট। এই নীতিটি কর্নেল কমান্ড লাইনের মাধ্যমে নিয়ন্ত্রণের যোগ্য এক স্তর সরবরাহ করে।
লকডাউন সম্পর্কে
লকটি কার্নেলে রুট অ্যাক্সেসকে সীমাবদ্ধ করে এবং ইউইএফআই সুরক্ষিত বুট বাইপাস পাথগুলিকে অবরুদ্ধ করে।
উদাহরণস্বরূপ, লক মোডে, / dev / meme, / dev / kmem, / dev / port, / proc / kcore, debugfs, debug মোড kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS, অন্যদের মধ্যে কিছু ইন্টারফেস রয়েছে সীমিত পাশাপাশি সিপিইউর এসিপিআই এবং এমএসআর রেজিস্টারগুলি।
যখন কেক্সেক_ফায়াল এবং কেেক্সেক_লোড কল লক করা আছে, স্লিপ মোড নিষিদ্ধ করা হয়েছে, পিসিআই ডিভাইসগুলির জন্য ডিএমএ ব্যবহার সীমাবদ্ধ রয়েছে, ইএফআই ভেরিয়েবলগুলি থেকে এসিপিআই কোড আমদানি নিষিদ্ধ, এবং ইনপুট / আউটপুট পোর্টগুলি সহ ইন্টারপট নম্বর এবং আই আই সহ ম্যানিপুলেশনগুলি অন্তর্ভুক্ত রয়েছে including সিরিয়াল বন্দরের জন্য / হে বন্দর।
কিছু জেনে থাকতে পারে, এর প্রক্রিয়া লকডাউনটি লিনাক্স কার্নেল 5.4 এ যুক্ত করা হয়েছিল, তবে এটি এখনও প্যাচ আকারে প্রয়োগ করা হয় বা বিতরণগুলির সাথে সরবরাহিত কার্নেলগুলিতে প্যাচগুলি দ্বারা পরিপূরক।
এখানে, বিতরণে সরবরাহিত প্লাগইনগুলির মধ্যে একটি পার্থক্য এবং এম্বেড করা কার্নেল প্রয়োগের সিস্টেমগুলির মধ্যে যখন শারীরিক অ্যাক্সেস থাকে তখন প্রদত্ত লকটি অক্ষম করার ক্ষমতা।
উবুন্টু এবং ফেডোরা কী সংমিশ্রণটি ব্যবহার করে Alt + SysRq + এক্স লক অক্ষম করতে। বোঝা যাচ্ছে সংমিশ্রণটি Alt + SysRq + এক্স এটি কেবলমাত্র ডিভাইসে শারীরিক অ্যাক্সেসের সাথে ব্যবহার করা যেতে পারে এবং দূরবর্তী আক্রমণ এবং রুট অ্যাক্সেসের ক্ষেত্রে আক্রমণকারী লকটি অক্ষম করতে সক্ষম হবে না।
লকডাউন দূরবর্তীভাবে অক্ষম করা যেতে পারে
আন্দ্রেই কোনোভালভ প্রমাণ করেছেন জন্য কীবোর্ড সম্পর্কিত পদ্ধতি ব্যবহারকারীর শারীরিক উপস্থিতি নিশ্চিতকরণ অকার্যকর।
এটা প্রকাশিত হয়েছে যে লকটি অক্ষম করার সবচেয়ে সহজ উপায় হ'ল সিমুলেট করা টিপুন Alt + SysRq + এক্স মাধ্যমে / দেব / ইউনপুট, তবে এই বিকল্পটি প্রাথমিকভাবে অবরুদ্ধ।
কিন্তু, বিকল্প অন্তত আরও দুটি উপায় Alt + SysRq + এক্স.
- প্রথম পদ্ধতিটি ইন্টারফেস ব্যবহার করে জড়িত sysrq- ট্রিগার: অনুকরণ করতে, কেবল "1" টাইপ করে এই ইন্টারফেসটি সক্ষম করুন / proc / sys / কার্নেল / sysrq এবং তারপরে "x" টাইপ করুন / proc / sysrq- ট্রিগার.
এই ফাঁকটি ডিসেম্বর উবুন্টু কার্নেল আপডেটে এবং ফেডোরা ৩১-এ স্থির করা হয়েছিল। এটি উল্লেখযোগ্য যে বিকাশকারীরা যেমন / দেব / ইউনপুট, তারা প্রথমে এই পদ্ধতিটি ব্লক করার চেষ্টা করেছিল, কিন্তু কোডটিতে ত্রুটির কারণে ব্লকিং কাজ করে না। - দ্বিতীয় পদ্ধতিটি হ'ল ইউএসবি / আইপি-র মাধ্যমে কীবোর্ডটি অনুকরণ করা এবং তারপরে ভার্চুয়াল কীবোর্ড থেকে Alt + SysRq + X ক্রম প্রেরণ করা।
কার্নেলে, উবুন্টু সরবরাহিত ইউএসবি / আইপি ডিফল্ট এবং মডিউলগুলির দ্বারা সক্ষম হয় ইউএসবিপ_কোর y vhci_hcd প্রয়োজনীয় প্রয়োজনীয় ডিজিটাল স্বাক্ষর সরবরাহ করা হয়।
কোনও আক্রমণকারী লুপব্যাক ইন্টারফেসে একটি নেটওয়ার্ক কন্ট্রোলার চালিয়ে এবং ইউএসবি / আইপি ব্যবহার করে এটি দূরবর্তী ইউএসবি ডিভাইস হিসাবে সংযুক্ত করে একটি ভার্চুয়াল ইউএসবি ডিভাইস তৈরি করতে পারে।
নির্দিষ্ট পদ্ধতিটি উবুন্টু বিকাশকারীদের কাছে জানানো হয়েছে, তবে কোনও সমাধান এখনও প্রকাশ করা হয়নি।
উৎস: https://github.com