> Так а как ещё ему объяснить, что по условию задачи модуль попадать
> в ядро не должен?В принципе и другие способы запрета этого есть, если оно реально надо. А забавно тут то что SElinux проявил несколько менее паранои в части Systems SEcurity чем от секурити-экспертов ожидается.
Для лично себя - я не запрещаю вгруз модулей, но там FORCE на проверку подписей и вот именно лично мой ключ. У меня то он есть. Хорошо когда система работает на меня. А если у вон тех нету, они и пролетают, соответственно.
Если хочется пожестче, есть /proc/sys/kernel/modules_disabled - если записать туда 1, загрузка новых модулей отвалится до ребута. При этом после старта системы когда все взлетело, можно быренько это дело врубать - обувая атакующих на это дело вообще. В цать раз проще SELinux и более эффективно. Но может потребовать ребут потом если нечто новое все же потребовалось.
А совсем злобный вариант - собрать ядро без поддержки модулей. Но это неудобно. Однако давно известно что чем удобнее тем хуже безопасность.
> То есть в ТЗ в одном из пунктов указали "запретить загрузку модулей".
Видимо да, иначе не понятно в чем прикол отрубить хвост именно наполовину.
> Исполнитель это прочёл, для одного случая создал правило, а потом пошёл
> пить кофе и забыл? И за ним никто не проверил? :)
А кто его знает. После юного д@лб@"№а сливающего секретные доки в дискорд я ничему такому не удивлюсь.
p.s. и кстати из-за непоседы Кента и его ФС как-то попало под внимание... то что модули априори нарушают W^X: это by design новые аллокации, выполняющие код. А кроме этого есть еще не менее 3 сценариев когда хотят динамически сгенерить код. И вот кент еще - для перфоманса файлухи.
В результате из-за Кента досталось и mm, и блокировкам (locks) и чему-то еще, например: https://lore.kernel.org/lkml/ZH0EseWI9F1n9yJx@moria.hom.../ - на правах хинта шишкину и ко как оно на самом деле надо было, если в майнлайн хочется. И в результате дискуссий, на самом деле, половина работы было спихана на айбиэмщика, еще кого-то и проч. А Кент приближается к желаемым точкам в своем квесте.