Linus Torvalds
As 'n aanvaller kode-uitvoering met wortelregte bewerkstellig, kan hy sy kode op kernvlak uitvoer, byvoorbeeld deur die kern te vervang met behulp van kexec of lees/skryf geheue via /dev/kmem. Die mees voor die hand liggende gevolg van sulke aktiwiteit kan wees
Aanvanklik is wortelbeperkingsfunksies ontwikkel in die konteks van die versterking van die beskerming van geverifieerde selflaai, en verspreidings gebruik al 'n geruime tyd derdeparty-kolle om die omseil van UEFI Secure Boot te blokkeer. Terselfdertyd is sulke beperkings nie by die hoofsamestelling van die pit ingesluit nie a.g.v
Toesluitmodus beperk toegang tot /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sommige ACPI-koppelvlakke en SVE MSR-registers, kexec_file en kexec_load-oproepe is geblokkeer, slaapmodus is verbode, DMA-gebruik vir PCI-toestelle is beperk, ACPI-kode invoer vanaf EFI-veranderlikes is verbode,
Manipulasies met I/O-poorte word nie toegelaat nie, insluitend die verandering van die onderbrekingsnommer en I/O-poort vir die reekspoort.
By verstek is die afsluitmodule nie aktief nie, dit word gebou wanneer die SECURITY_LOCKDOWN_LSM-opsie in kconfig gespesifiseer is en geaktiveer word deur die kernparameter “lockdown=”, die beheerlêer “/sys/kernel/security/lockdown” of samestellingsopsies
Dit is belangrik om daarop te let dat inperking slegs standaardtoegang tot die kern beperk, maar nie teen wysigings beskerm as gevolg van uitbuiting van kwesbaarhede nie. Om veranderinge aan die lopende kern te blokkeer wanneer uitbuitings deur die Openwall-projek gebruik word
Bron: opennet.ru