Лінус Торвальдс
Калі зламыснік у выніку напады дамогся выкананні кода з правамі root, то ён можа выканаць свой код і на ўзроўні ядра, напрыклад, праз замену ядра пры дапамозе kexec або чытанні/запісы памяці праз /dev/kmem. Найбольш відавочным следствам падобнай актыўнасці можа стаць
Першапачаткова функцыі абмежавання root развіваліся ў кантэксце ўзмацнення абароны верыфікаванай загрузкі і дыстрыбутывы ўжо досыць даўно ўжываюць іншыя патчы для блакавання абыходу UEFI Secure Boot. Пры гэтым у асноўны склад ядра падобныя абмежаванні не ўключаліся з-за
У рэжыме lockdown абмяжоўваецца доступ да /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, адладкавага рэжыму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), некаторых інтэрфейсаў ACPI і MSR-рэгістрам CPU, блакуюцца выклікі kexec_file і kexec_load, забараняецца пераход у спячы рэжым, лімітуецца выкарыстанне DMA для PCI-прылад, забараняецца імпарт кода ACPI са зменных EFI,
не дапушчаюцца маніпуляцыі з партамі ўводу/высновы, у тым ліку змена нумара перапынення і порта ўводу/высновы для паслядоўнага порта.
Па змаўчанні модуль lockdown не актыўны, збіраецца пры ўказанні ў kconfig опцыі SECURITY_LOCKDOWN_LSM і актывуецца праз параметр ядра "lockdown=", кіравальны файл "/sys/kernel/security/lockdown" або зборачныя опцыі
Пры гэтым важна адзначыць, што lockdown толькі абмяжоўвае штатныя магчымасці доступу да ядра, але не абараняе ад мадыфікацый у выніку эксплуатацыі ўразлівасцяў. Для блакавання занясення змен у працавальнае ядро пры ўжыванні эксплоітаў праектам Openwall
Крыніца: opennet.ru