| kernel_lockdown(7) | Miscellaneous Information Manual | kernel_lockdown(7) |
الاسم¶
kernel_lockdown - ميزة منع الوصول إلى صورة النواة
الوصف¶
صُممت ميزة إقفال النواة لمنع الوصول المباشر وغير المباشر إلى صورة نواة قيد التشغيل، ساعيةً للحماية ضد التعديل غير المصرح به لصورة النواة ومنع الوصول إلى بيانات الأمان والتشفير الموجودة في ذاكرة النواة، مع السماح بتحميل وحدات التشغيل.
إذا تم الوصول إلى ميزة محظورة أو مقيدة أو استخدامها، تُصدر النواة رسالة تبدو كالتالي:
إقفال: X: Y مقيد، راجع man kernel_lockdown.7
حيث يشير X إلى اسم العملية ويشير Y إلى ما هو مقيد.
التغطية¶
عند تفعيل الإقفال، تُعطل عدد من الميزات أو يُقيد استخدامها. يشمل ذلك ملفات الأجهزة الخاصة وخدمات النواة التي تسمح بالوصول المباشر إلى صورة النواة:
/dev/kmem
/dev/kcore
/dev/ioports
BPF
kprobes
والقدرة على تكوين الأجهزة والتحكم بها مباشرة، لمنع استخدام جهاز للوصول إلى صورة النواة أو تعديلها:
- •
- استخدام معاملات الوحدة التي تحدد معاملات الأجهزة مباشرةً للسائقين عبر سطر أوامر النواة أو عند تحميل وحدة.
- •
- استخدام الوصول المباشر إلى PCI BAR.
- •
- استخدام تعليمات ioperm و iopl على x86.
- •
- استخدام ioctls وحدة التحكم KD*IO.
- •
- استخدام ioctl التسلسلي TIOCSSERIAL.
- •
- تغيير سجلات MSR على x86.
- •
- استبدال PCMCIA CIS.
- •
- تجاوز جداول ACPI.
- •
- استخدام حقن الأخطاء ACPI.
- •
- تحديد عنوان ACPI RDSP.
- •
- استخدام طرق ACPI المخصصة.
بعض التسهيلات مقيدة:
- •
- لا يُسمح بتحميل سوى الوحدات الموقعة بشكل صحيح (يُعفى إذا كان ملف الوحدة الجاري تحميله مضمونًا بتقييم IMA).
- •
- لا يُسمح بتنفيذ kexec سوى للملفات الثنائية الموقعة بشكل صحيح (يُعفى إذا كان ملف الصورة الثنائية المراد تنفيذه مضمونًا بتقييم IMA).
- •
- يُحظر الإسبات/التعليق غير المشفر إلى المبادلة لأن صورة النواة تُحفظ على وسيط يمكن الوصول إليه لاحقًا.
- •
- لا يُسمح باستخدام debugfs لأن ذلك يسمح بمجموعة كاملة من الإجراءات بما في ذلك التكوين المباشر للأجهزة والوصول إليها وتشغيلها.
- •
- تتطلب IMA إضافة قواعد "secure_boot" إلى السياسة، سواء تم تحديدها في سطر الأوامر أم لا، لكل من السياسات المضمنة والمخصصة في وضع الإغلاق الآمن للإقلاع.
الإصدارات¶
أُضيفت ميزة إغلاق النواة في لينكس 5.4.
ملاحظات¶
تُفعّل ميزة إغلاق النواة بواسطة CONFIG_SECURITY_LOCKDOWN_LSM. يتحكم معامل سطر الأوامر lsm=lsm1,...,lsmN في تسلسل تهيئة وحدات أمان لينكس. يجب أن يحتوي على السلسلة lockdown لتفعيل ميزة إغلاق النواة. إذا لم يُحدد معامل سطر الأوامر، تعود التهيئة إلى قيمة معامل سطر الأوامر المُهمل security= ثم إلى قيمة CONFIG_LSM.
ترجمة¶
تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>
هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.
إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.
| 10 فبراير 2026 | صفحات دليل لينكس (لم تصدر بعد) |