出于安全目的,是否可以让操作系统强制执行硬件设备白名单?
这意味着不在白名单中的插入设备将在尽可能低的级别被忽略(以便操作系统中更高级别的抽象甚至不会发现这些非白名单设备)。
我正在使用 Ubuntu 11.04,但我猜测无论你有什么解决方案都可以在几乎所有最新的 Linux 发行版上运行。
答案1
当设备添加到系统时,内核通过以 root (UID 0) 身份调用 /sbin/hotplug 向用户模式请求适当的驱动程序。热插拔通常只使用适当的 .ko 文件调用 insmod(8),但您可以对其进行破解,以根据硬件 ID(在环境中传递)执行一些过滤。
当然,您需要保护 insmod(8) 不被非特权用户直接调用,并确保在设备分离后卸载 ko 驱动程序(/sbin/hotplug 也会被调用)。