Linus Torvalds
Hvis en angriber opnår kodeudførelse med root-rettigheder, kan han udføre sin kode på kerneniveau, for eksempel ved at erstatte kernen ved hjælp af kexec eller læse/skrivehukommelse via /dev/kmem. Den mest åbenlyse konsekvens af en sådan aktivitet kan være
Oprindeligt blev root-begrænsningsfunktioner udviklet i forbindelse med at styrke beskyttelsen af verificeret opstart, og distributioner har brugt tredjepartspatches til at blokere omgåelse af UEFI Secure Boot i et stykke tid. Samtidig indgik sådanne restriktioner ikke i kernens hovedsammensætning pga
Lockdown-tilstand begrænser adgangen til /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), nogle ACPI-grænseflader og CPU MSR-registre, kexec_file og kexec_load-opkald er blokeret, dvaletilstand er forbudt, DMA-brug til PCI-enheder er begrænset, ACPI-kodeimport fra EFI-variabler er forbudt,
Manipulationer med I/O-porte er ikke tilladt, herunder ændring af afbrydelsesnummeret og I/O-porten for den serielle port.
Som standard er lockdown-modulet ikke aktivt, det er bygget, når SECURITY_LOCKDOWN_LSM-indstillingen er angivet i kconfig og aktiveres gennem kerneparameteren "lockdown=", kontrolfilen "/sys/kernel/security/lockdown" eller samlingsmuligheder
Det er vigtigt at bemærke, at lockdown kun begrænser standardadgang til kernen, men beskytter ikke mod ændringer som følge af udnyttelse af sårbarheder. For at blokere ændringer af den kørende kerne, når udnyttelser bruges af Openwall-projektet
Kilde: opennet.ru