Sotto molte risorse diverse ( link per uno), ci sono alcuni ottimi consigli per difendersi dall'iniezione di codice.
Tuttavia, uno di questi è 'Disassociation shell modulare dal kernel' - ma dopo un po 'di ricerca su Google, questo termine non sembra essere definito da nessuna parte - ma ogni altro sito sembra copiarlo e incollarlo come meccanismo di difesa per difetti di iniezione del codice.
Qualcuno può descrivere cosa significa in realtà "la scomposizione della shell modulare dal kernel"?
Sono d'accordo con le tue osservazioni sul fatto che questo termine specifico non è ben spiegato e che molti siti sembrano semplicemente pappagallo tra loro.
Anche se non sono affatto un dev di linux, la mia ipotesi migliore sarebbe quella di guardare il syscall unshare ():
unshare allows ... an ability to disassociate parts of the context [such as virtual memory and open files]
unshare can be used to implement polyinstantiated directories using the kernel's per-process namespace mechanism. Polyinstantiated directories, such as per-user and/or per-security context instance of /tmp, /var/tmp or per-security context instance of a user's home directory, isolate user processes when working with these directories. Using unshare, a PAM module can easily setup a private namespace for a user at login.
Leggi altre domande sui tag kernel web-application injection