Linus Torvalds součástí nadcházejícího vydání jádra Linuxu 5.4 je sada oprav "", David Howells (Red Hat) a Matthew Garrett (, pracuje ve společnosti Google) k omezení přístupu uživatelů root k jádru. Funkce související s uzamčením je součástí volitelně načteného modulu LSM (), což vytváří bariéru mezi UID 0 a jádrem a omezuje některé funkce na nízké úrovni.
Pokud útočník dosáhne spuštění kódu s právy root, může svůj kód spustit na úrovni jádra, například nahrazením jádra pomocí kexecu nebo čtením/zápisem paměti přes /dev/kmem. Nejviditelnějším důsledkem takové činnosti může být UEFI Secure Boot nebo načítání citlivých dat uložených na úrovni jádra.
Zpočátku byly funkce omezení root vyvinuty v kontextu posílení ochrany ověřeného spouštění a distribuce již nějakou dobu používají záplaty třetích stran k blokování obcházení UEFI Secure Boot. Zároveň taková omezení nebyla zahrnuta do hlavního složení jádra kvůli při jejich zavádění a obavy z narušení stávajících systémů. Modul „lockdown“ absorboval záplaty již používané v distribucích, které byly přepracovány ve formě samostatného subsystému, který není vázán na UEFI Secure Boot.
Režim uzamčení omezuje přístup k /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, režim ladění kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), některá rozhraní ACPI a CPU Registry MSR, volání kexec_file a kexec_load jsou blokovány, režim spánku je zakázán, použití DMA pro zařízení PCI je omezeno, import kódu ACPI z proměnných EFI je zakázán,
Manipulace s I/O porty nejsou povoleny, včetně změny čísla přerušení a I/O portu pro sériový port.
Ve výchozím nastavení není modul lockdown aktivní, je vytvořen, když je v kconfig specifikována volba SECURITY_LOCKDOWN_LSM a je aktivován parametrem jádra „lockdown=“, řídicím souborem „/sys/kernel/security/lockdown“ nebo volbami sestavení , který může mít hodnoty „integrita“ a „důvěrnost“. V prvním případě jsou zablokovány funkce, které umožňují provádět změny v běžícím jádře z uživatelského prostoru, a ve druhém případě je také deaktivována funkčnost, kterou lze z jádra extrahovat citlivé informace.
Je důležité poznamenat, že uzamčení pouze omezuje standardní přístup k jádru, ale nechrání před úpravami v důsledku zneužití zranitelností. Blokovat změny běžícího jádra, když projekt Openwall používá exploity samostatný modul (Linux Kernel Runtime Guard).
Zdroj: opennet.ru