Linus Torvalds
Pokud útočník dosáhne spuštění kódu s právy root, může svůj kód spustit na úrovni jádra, například nahrazením jádra pomocí kexecu nebo čtením/zápisem paměti přes /dev/kmem. Nejviditelnějším důsledkem takové činnosti může být
Zpočátku byly funkce omezení root vyvinuty v kontextu posílení ochrany ověřeného spouštění a distribuce již nějakou dobu používají záplaty třetích stran k blokování obcházení UEFI Secure Boot. Zároveň taková omezení nebyla zahrnuta do hlavního složení jádra kvůli
Režim uzamčení omezuje přístup k /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, režim ladění kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), některá rozhraní ACPI a CPU Registry MSR, volání kexec_file a kexec_load jsou blokovány, režim spánku je zakázán, použití DMA pro zařízení PCI je omezeno, import kódu ACPI z proměnných EFI je zakázán,
Manipulace s I/O porty nejsou povoleny, včetně změny čísla přerušení a I/O portu pro sériový port.
Ve výchozím nastavení není modul lockdown aktivní, je vytvořen, když je v kconfig specifikována volba SECURITY_LOCKDOWN_LSM a je aktivován parametrem jádra „lockdown=“, řídicím souborem „/sys/kernel/security/lockdown“ nebo volbami sestavení
Je důležité poznamenat, že uzamčení pouze omezuje standardní přístup k jádru, ale nechrání před úpravami v důsledku zneužití zranitelností. Blokovat změny běžícího jádra, když projekt Openwall používá exploity
Zdroj: opennet.ru