Новый Сегодня была предложена опция ядра под названием «pkill_on_warn», которая убивала бы все потоки в процессе, если бы этот процесс спровоцировал предупреждение ядра.
В настоящее время, когда процесс вызывает предупреждение ядра, по умолчанию это не влияет на этот процесс. В ядре Linux есть опция «panic_on_warn», чтобы вызвать панику ядра при появлении предупреждения, но pkill_on_warn будет меньше излишним и, по крайней мере, поддержит систему в рабочем состоянии.
Исследователь безопасности и участник ядра Linux Александр Попов предложил эту новую опцию pkill_on_warn. Попов утверждал в предложении патча: «С точки зрения безопасности, предупреждающие сообщения ядра предоставляют много полезной информации для злоумышленников. Многие дистрибутивы GNU/Linux позволяют непривилегированным пользователям читать журнал ядра, поэтому злоумышленники используют утечку информации с предупреждениями ядра в эксплойтах уязвимостей…. Давайте представим параметр загрузки pkill_on_warn. Если этот параметр установлен, ядро уничтожает все потоки в процессе, вызвавшем предупреждение ядра. Такое поведение разумно с точки зрения безопасности, описанной выше. Это также полезно для безопасности ядра. усиление защиты, потому что система убивает процесс эксплойта, который выдает предупреждение ядра”.
Это не изменит поведение ядра по умолчанию, но если/когда патч будет объединен, загрузка ядра с pkill_on_warn=1 позволит этому новому поведению убивать процессы, вызывающие предупреждения ядра.
Предлагаемый патч в настоящее время находится в списке рассылки ядра