私はそれを試し/dev/mem
てルートとしても見つけましたCONFIG_STRICT_DEVMEM=y
。
rootユーザーが自分の好きなことをするのを防ぐメカニズムがあることが私にとっては新しい事実です。
ただし、ルートとして単にLinuxカーネルイメージを変更して再起動することができます(制限を無効にするため)。カーネルイメージファイルが何らかの方法で保護されている場合は、依然としてメイン/dev/sda
ディスクまたは他のメインディスクに書き込むことができます。
だから私の質問は、設定がCONFIG_STRICT_DEVMEM=y
安全であるか、rootユーザーが簡単にバイパスできるかどうかです。
答え1
目標STRICT_DEVMEM
所有者からシステムを完全に保護するのではなく、誤った書き込みを防ぐためです/dev/mem
。
このオプションを無効にすると、ユーザースペース(ルート)はカーネルとユーザースペースメモリーを含むすべてのメモリーにアクセスできます。これに対する偶発的なアクセスは明らかに災害的ですが、カーネルをデバッグする誰かが特定のアクセスを使用する可能性があります。
また、実行中のシステムに対する多くの攻撃シナリオをさらに困難にしますが、アイドル状態のシステムを保護することはできません。