Linus Torvalds
Si un atacant aconsegueix l'execució de codi amb drets d'arrel, pot executar el seu codi a nivell del nucli, per exemple, substituint el nucli mitjançant kexec o memòria de lectura/escriptura mitjançant /dev/kmem. La conseqüència més òbvia d'aquesta activitat pot ser
Inicialment, les funcions de restricció d'arrel es van desenvolupar en el context d'enfortir la protecció de l'arrencada verificada, i les distribucions han estat utilitzant pedaços de tercers per bloquejar l'evitació de l'arrencada segura UEFI durant força temps. Al mateix temps, aquestes restriccions no es van incloure a la composició principal del nucli a causa de
El mode de bloqueig restringeix l'accés a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes mode debug, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), algunes interfícies ACPI i CPU Els registres MSR, les trucades kexec_file i kexec_load estan bloquejades, el mode de repòs està prohibit, l'ús de DMA per a dispositius PCI està limitat, la importació de codi ACPI des de variables EFI està prohibida,
No es permeten manipulacions amb ports d'E/S, inclòs el canvi del número d'interrupció i el port d'E/S del port sèrie.
Per defecte, el mòdul de bloqueig no està actiu, es construeix quan s'especifica l'opció SECURITY_LOCKDOWN_LSM a kconfig i s'activa mitjançant el paràmetre del nucli "lockdown=", el fitxer de control "/sys/kernel/security/lockdown" o les opcions de muntatge.
És important tenir en compte que el bloqueig només limita l'accés estàndard al nucli, però no protegeix contra modificacions com a resultat de l'explotació de vulnerabilitats. Per bloquejar els canvis al nucli en execució quan el projecte Openwall utilitza exploits
Font: opennet.ru