ಆಂಡ್ರೆ ಕೊನೊವಾಲೋವ್ ಗೂಗಲ್ ಸಾಫ್ಟ್ವೇರ್ ಎಂಜಿನಿಯರ್, ನಿಂದ ರಕ್ಷಣೆಯನ್ನು ದೂರದಿಂದಲೇ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ವಿಧಾನವನ್ನು ಅನಾವರಣಗೊಳಿಸಿದೆ ಲಾಕ್ ಉಬುಂಟುನಲ್ಲಿ ಸರಬರಾಜು ಮಾಡಲಾದ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ನಲ್ಲಿ ನೀಡಲಾಗುತ್ತದೆ. ಯಾವುದರ ಜೊತೆ ರಕ್ಷಣೆ ವಿಧಾನಗಳು ನಿಷ್ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ ಎಂದು ತೋರಿಸುತ್ತದೆ, ಜೊತೆಗೆ ಅವರು ಸೈದ್ಧಾಂತಿಕವಾಗಿ ಬಹಿರಂಗಪಡಿಸಿದ ವಿಧಾನಗಳು ಫೆಡೋರಾ ಕರ್ನಲ್ ಮತ್ತು ಇತರ ವಿತರಣೆಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಬೇಕೆಂದು ಅವರು ಉಲ್ಲೇಖಿಸಿದ್ದಾರೆ, (ಆದರೆ ಪರೀಕ್ಷಿಸಲಾಗಿಲ್ಲ).
ಲಾಕ್ಡೌನ್ ಬಗ್ಗೆ ತಿಳಿದಿಲ್ಲದವರಿಗೆ, ಅದು ಲಿನಕ್ಸ್ ಕರ್ನಲ್ನ ಒಂದು ಘಟಕ ಎಂದು ಅವರು ತಿಳಿದಿರಬೇಕು ಸಿಸ್ಟಮ್ ಕರ್ನಲ್ನಲ್ಲಿ ರೂಟ್ ಬಳಕೆದಾರರ ಪ್ರವೇಶವನ್ನು ಮಿತಿಗೊಳಿಸುವುದು ಇದರ ಮುಖ್ಯ ಕಾರ್ಯವಾಗಿದೆ ಮತ್ತು ಈ ಕ್ರಿಯಾತ್ಮಕತೆ ಅನ್ನು LSM ಮಾಡ್ಯೂಲ್ಗೆ ಸರಿಸಲಾಗಿದೆ ಐಚ್ ally ಿಕವಾಗಿ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ (ಲಿನಕ್ಸ್ ಸೆಕ್ಯುರಿಟಿ ಮಾಡ್ಯೂಲ್), ಇದು ಯುಐಡಿ 0 ಮತ್ತು ಕರ್ನಲ್ ನಡುವೆ ತಡೆಗೋಡೆ ಸ್ಥಾಪಿಸುತ್ತದೆ, ಕೆಲವು ಕಡಿಮೆ-ಮಟ್ಟದ ಕಾರ್ಯಗಳನ್ನು ಸೀಮಿತಗೊಳಿಸುತ್ತದೆ.
ಯಾಂತ್ರಿಕ ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ಸೂಚ್ಯ ನೀತಿಯನ್ನು ಹಾರ್ಡ್-ಕೋಡಿಂಗ್ ಮಾಡುವ ಬದಲು ಬೀಗಮುದ್ರೆ ಕಾರ್ಯವನ್ನು ನೀತಿ ಆಧಾರಿತವಾಗಿಸಲು ಇದು ಅನುಮತಿಸುತ್ತದೆ, ಆದ್ದರಿಂದ ಲಿನಕ್ಸ್ ಸೆಕ್ಯುರಿಟಿ ಮಾಡ್ಯೂಲ್ನಲ್ಲಿ ಒಳಗೊಂಡಿರುವ ಲಾಕ್ ಸರಳ ನೀತಿಯೊಂದಿಗೆ ಅನುಷ್ಠಾನವನ್ನು ಒದಗಿಸುತ್ತದೆ ಸಾಮಾನ್ಯ ಬಳಕೆಗೆ ಉದ್ದೇಶಿಸಲಾಗಿದೆ. ಈ ನೀತಿಯು ಕರ್ನಲ್ ಆಜ್ಞಾ ಸಾಲಿನ ಮೂಲಕ ನಿಯಂತ್ರಿಸಬಹುದಾದ ಗ್ರ್ಯಾನ್ಯುಲಾರಿಟಿ ಮಟ್ಟವನ್ನು ಒದಗಿಸುತ್ತದೆ.
ಲಾಕ್ ಡೌನ್ ಬಗ್ಗೆ
ಲಾಕ್ ಕರ್ನಲ್ಗೆ ರೂಟ್ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ ಮತ್ತು ಯುಇಎಫ್ಐ ಸುರಕ್ಷಿತ ಬೂಟ್ ಬೈಪಾಸ್ ಮಾರ್ಗಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ಲಾಕ್ ಮೋಡ್ನಲ್ಲಿ, / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, ಡೀಬಗ್ ಮೋಡ್ kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS, ಇತರವುಗಳಿಗೆ ಪ್ರವೇಶ, ಕೆಲವು ಇಂಟರ್ಫೇಸ್ಗಳು ಸೀಮಿತ ಮತ್ತು ಸಿಪಿಯುನ ಎಸಿಪಿಐ ಮತ್ತು ಎಂಎಸ್ಆರ್ ರೆಜಿಸ್ಟರ್ಗಳು.
Kexec_file ಮತ್ತು kexec_load ಕರೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ, ಸ್ಲೀಪ್ ಮೋಡ್ ಅನ್ನು ನಿಷೇಧಿಸಲಾಗಿದೆ, PCI ಸಾಧನಗಳಿಗೆ DMA ಬಳಕೆಯನ್ನು ಸೀಮಿತಗೊಳಿಸಲಾಗಿದೆ, EFI ಅಸ್ಥಿರಗಳಿಂದ ACPI ಕೋಡ್ ಅನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವುದನ್ನು ನಿಷೇಧಿಸಲಾಗಿದೆ, ಮತ್ತು ಇನ್ಪುಟ್ / output ಟ್ಪುಟ್ ಪೋರ್ಟ್ಗಳೊಂದಿಗೆ ಕುಶಲತೆಯು ಅಡಚಣೆಯ ಸಂಖ್ಯೆಯನ್ನು ಬದಲಾಯಿಸುವುದು ಮತ್ತು ಸರಣಿ ಪೋರ್ಟ್ಗಾಗಿ I / O ಪೋರ್ಟ್.
ಕೆಲವರಿಗೆ ತಿಳಿದಿರುವಂತೆ, ಯಾಂತ್ರಿಕ ವ್ಯವಸ್ಥೆ ಲಾಕ್ ಡೌನ್ ಅನ್ನು ಲಿನಕ್ಸ್ ಕರ್ನಲ್ 5.4, ಆದರೆ ಇದನ್ನು ಇನ್ನೂ ಪ್ಯಾಚ್ಗಳ ರೂಪದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ ಅಥವಾ ವಿತರಣೆಗಳೊಂದಿಗೆ ಒದಗಿಸಲಾದ ಕಾಳುಗಳಲ್ಲಿನ ಪ್ಯಾಚ್ಗಳಿಂದ ಪೂರಕವಾಗಿರುತ್ತದೆ.
ಇಲ್ಲಿ, ವಿತರಣೆಗಳಲ್ಲಿ ಒದಗಿಸಲಾದ ಪ್ಲಗ್ಇನ್ಗಳು ಮತ್ತು ಎಂಬೆಡೆಡ್ ಕರ್ನಲ್ ಅನುಷ್ಠಾನಗಳ ನಡುವಿನ ವ್ಯತ್ಯಾಸವೆಂದರೆ ವ್ಯವಸ್ಥೆಗೆ ಭೌತಿಕ ಪ್ರವೇಶವಿದ್ದಾಗ ಒದಗಿಸಲಾದ ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ.
ಉಬುಂಟು ಮತ್ತು ಫೆಡೋರಾ ಕೀ ಸಂಯೋಜನೆಯನ್ನು ಬಳಸುತ್ತವೆ Alt + SysRq + X. ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು. ಸಂಯೋಜನೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ Alt + SysRq + X. ಇದನ್ನು ಸಾಧನಕ್ಕೆ ಭೌತಿಕ ಪ್ರವೇಶದೊಂದಿಗೆ ಮಾತ್ರ ಬಳಸಬಹುದಾಗಿದೆ ಮತ್ತು ದೂರಸ್ಥ ದಾಳಿ ಮತ್ತು ಮೂಲ ಪ್ರವೇಶದ ಸಂದರ್ಭದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರಿಗೆ ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ.
ಲಾಕ್ಡೌನ್ ಅನ್ನು ದೂರದಿಂದಲೇ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು
ಆಂಡ್ರೇ ಕೊನೊವಾಲೋವ್ ಅದನ್ನು ಸಾಬೀತುಪಡಿಸಿದರು ಕೀಬೋರ್ಡ್-ಸಂಬಂಧಿತ ವಿಧಾನಗಳು ಬಳಕೆದಾರರ ಭೌತಿಕ ಉಪಸ್ಥಿತಿಯನ್ನು ದೃ ming ೀಕರಿಸುವುದು ನಿಷ್ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ.
ಅವನು ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಸುಲಭವಾದ ಮಾರ್ಗವೆಂದರೆ ಅನುಕರಿಸುವುದು ಒತ್ತಿ Alt + SysRq + X. ಮೂಲಕ / dev / uinput, ಆದರೆ ಈ ಆಯ್ಕೆಯನ್ನು ಆರಂಭದಲ್ಲಿ ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ.
ಆದರೆ, ಬದಲಿ ಮಾಡಲು ಕನಿಷ್ಠ ಎರಡು ಮಾರ್ಗಗಳಿವೆ Alt + SysRq + X..
- ಮೊದಲ ವಿಧಾನವು ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ sysrq- ಪ್ರಚೋದಕ: ಅನುಕರಿಸಲು, "1" ಅನ್ನು ಟೈಪ್ ಮಾಡುವ ಮೂಲಕ ಈ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ / proc / sys / kernel / sysrq ತದನಂತರ "x" ಅನ್ನು ಟೈಪ್ ಮಾಡಿ / proc / sysrq- ಪ್ರಚೋದಕ.
ಈ ಅಂತರವನ್ನು ಡಿಸೆಂಬರ್ ಉಬುಂಟು ಕರ್ನಲ್ ಅಪ್ಡೇಟ್ನಲ್ಲಿ ಮತ್ತು ಫೆಡೋರಾ 31 ರಲ್ಲಿ ನಿಗದಿಪಡಿಸಲಾಗಿದೆ. ಡೆವಲಪರ್ಗಳು, ಹಾಗೆಯೇ / dev / uinput, ಅವರು ಆರಂಭದಲ್ಲಿ ಈ ವಿಧಾನವನ್ನು ನಿರ್ಬಂಧಿಸಲು ಪ್ರಯತ್ನಿಸಿದರು, ಆದರೆ ಕೋಡ್ನಲ್ಲಿನ ದೋಷದಿಂದಾಗಿ ನಿರ್ಬಂಧಿಸುವಿಕೆಯು ಕಾರ್ಯನಿರ್ವಹಿಸಲಿಲ್ಲ. - ಎರಡನೇ ವಿಧಾನವೆಂದರೆ ಕೀಲಿಮಣೆಯನ್ನು ಯುಎಸ್ಬಿ / ಐಪಿ ಮೂಲಕ ಅನುಕರಿಸುವುದು ಮತ್ತು ನಂತರ ವರ್ಚುವಲ್ ಕೀಬೋರ್ಡ್ನಿಂದ Alt + SysRq + X ಅನುಕ್ರಮವನ್ನು ಕಳುಹಿಸುವುದು.
ಕರ್ನಲ್ನಲ್ಲಿ, ಉಬುಂಟು ಒದಗಿಸಿದ ಯುಎಸ್ಬಿ / ಐಪಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಮತ್ತು ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ usbip_core y vhci_hcd ಅಗತ್ಯವಾದ ಡಿಜಿಟಲ್ ಸಹಿಯೊಂದಿಗೆ ಒದಗಿಸಲಾಗಿದೆ.
ಆಕ್ರಮಣಕಾರರು ಲೂಪ್ಬ್ಯಾಕ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ನಿಯಂತ್ರಕವನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಮತ್ತು ಯುಎಸ್ಬಿ / ಐಪಿ ಬಳಸಿ ದೂರಸ್ಥ ಯುಎಸ್ಬಿ ಸಾಧನವಾಗಿ ಸಂಪರ್ಕಿಸುವ ಮೂಲಕ ವರ್ಚುವಲ್ ಯುಎಸ್ಬಿ ಸಾಧನವನ್ನು ರಚಿಸಬಹುದು.
ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ವಿಧಾನವನ್ನು ಉಬುಂಟು ಡೆವಲಪರ್ಗಳಿಗೆ ವರದಿ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಪರಿಹಾರವನ್ನು ಇನ್ನೂ ಬಿಡುಗಡೆ ಮಾಡಿಲ್ಲ.
ಮೂಲ: https://github.com