Линус Торвалдс
Ако атакуващият постигне изпълнение на код с права на root, той може да изпълни кода си на ниво ядро, например, като замени ядрото с помощта на kexec или памет за четене/запис чрез /dev/kmem. Най-очевидната последица от такава дейност може да бъде
Първоначално функциите за ограничаване на root бяха разработени в контекста на укрепване на защитата на проверено зареждане и дистрибуциите използват корекции на трети страни за блокиране на заобикаляне на UEFI Secure Boot от доста време. В същото време такива ограничения не бяха включени в основния състав на ядрото поради
Режимът на заключване ограничава достъпа до /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), някои ACPI интерфейси и CPU MSR регистрите, извикванията kexec_file и kexec_load са блокирани, режимът на заспиване е забранен, използването на DMA за PCI устройства е ограничено, импортирането на ACPI код от EFI променливи е забранено,
Не са разрешени манипулации с I/O портове, включително промяна на номера на прекъсване и I/O порт за серийния порт.
По подразбиране модулът за заключване не е активен, той се изгражда, когато опцията SECURITY_LOCKDOWN_LSM е указана в kconfig и се активира чрез параметъра на ядрото „lockdown=“, контролния файл „/sys/kernel/security/lockdown“ или опциите за асемблиране
Важно е да се отбележи, че заключването само ограничава стандартния достъп до ядрото, но не предпазва от модификации в резултат на използване на уязвимости. За блокиране на промените в работещото ядро, когато експлойтите се използват от проекта Openwall
Източник: opennet.ru