Linus Torvalds
Ako napadač postigne izvršenje koda s root pravima, on može izvršiti svoj kod na nivou kernela, na primjer, zamjenom kernela pomoću kexeca ili memorije za čitanje/pisanje putem /dev/kmem. Najočiglednija posljedica takve aktivnosti može biti
U početku su funkcije ograničenja root-a razvijene u kontekstu jačanja zaštite verificiranog pokretanja, a distribucije su već duže vrijeme koristile zakrpe trećih strana za blokiranje zaobilaženja UEFI Secure Boot-a. Istovremeno, takva ograničenja nisu uključena u glavni sastav kernela zbog
Način zaključavanja ograničava pristup /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes mod za otklanjanje grešaka, mmiotrace, tracefs, BPF, PCMCIA CIS (Informacijska struktura kartice), nekim ACPI sučeljima i CPU-u MSR registri, pozivi kexec_file i kexec_load su blokirani, režim mirovanja je zabranjen, upotreba DMA za PCI uređaje je ograničena, uvoz ACPI koda iz EFI varijabli je zabranjen,
Manipulacije sa I/O portovima nisu dozvoljene, uključujući promjenu broja prekida i I/O porta za serijski port.
Modul zaključavanja prema zadanim postavkama nije aktivan, izgrađen je kada je opcija SECURITY_LOCKDOWN_LSM specificirana u kconfig i aktivira se preko parametra kernela “lockdown=”, kontrolne datoteke “/sys/kernel/security/lockdown” ili opcija sklopa
Važno je napomenuti da zaključavanje samo ograničava standardni pristup kernelu, ali ne štiti od modifikacija koje su rezultat iskorištavanja ranjivosti. Za blokiranje promjena u pokrenutom kernelu kada projekt Openwall koristi exploite
izvor: opennet.ru