Linus Torvalds
Təcavüzkar kodun icrasına kök hüquqları ilə nail olarsa, o, öz kodunu kernel səviyyəsində icra edə bilər, məsələn, kexec istifadə edərək nüvəni əvəz etməklə və ya /dev/kmem vasitəsilə yaddaşı oxumaq/yazmaq. Belə fəaliyyətin ən bariz nəticəsi ola bilər
Başlanğıcda, kök məhdudlaşdırma funksiyaları təsdiqlənmiş yükləmənin qorunmasının gücləndirilməsi kontekstində hazırlanmışdır və paylamalar bir müddətdir ki, UEFI Secure Boot-dan yan keçməyi bloklamaq üçün üçüncü tərəf yamaqlarından istifadə edir. Eyni zamanda, belə məhdudiyyətlər səbəbiylə nüvənin əsas tərkibinə daxil edilmədi
Kilidləmə rejimi /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug rejimi, mmiotrace, tracefs, BPF, PCMCIA CIS (Kart Məlumat Strukturu), bəzi ACPI interfeysləri və CPU-ya girişi məhdudlaşdırır MSR registrləri, kexec_file və kexec_load zəngləri bloklanır, yuxu rejimi qadağandır, PCI cihazları üçün DMA istifadəsi məhduddur, EFI dəyişənlərindən ACPI kodunun idxalı qadağandır,
Giriş/çıxış portları ilə manipulyasiyalara icazə verilmir, o cümlədən kəsilmə nömrəsinin və seriya portu üçün I/O portunun dəyişdirilməsi.
Varsayılan olaraq, kilidləmə modulu aktiv deyil, SECURITY_LOCKDOWN_LSM seçimi kconfig-də göstərildikdə qurulur və "lockdown =" ləpə parametri, "/sys/kernel/security/lockdown" nəzarət faylı və ya montaj seçimləri vasitəsilə aktivləşdirilir.
Qeyd etmək vacibdir ki, kilidləmə yalnız nüvəyə standart girişi məhdudlaşdırır, lakin zəifliklərin istismarı nəticəsində dəyişikliklərdən qorunmur. Openwall layihəsi tərəfindən istismarlar istifadə edildikdə işləyən nüvəyə edilən dəyişiklikləri bloklamaq üçün
Mənbə: opennet.ru