Linus Torvalds
Εάν ένας εισβολέας επιτύχει την εκτέλεση κώδικα με δικαιώματα ρίζας, μπορεί να εκτελέσει τον κώδικά του σε επίπεδο πυρήνα, για παράδειγμα, αντικαθιστώντας τον πυρήνα χρησιμοποιώντας kexec ή μνήμη ανάγνωσης/εγγραφής μέσω /dev/kmem. Η πιο προφανής συνέπεια μιας τέτοιας δραστηριότητας μπορεί να είναι
Αρχικά, οι λειτουργίες περιορισμού ρίζας αναπτύχθηκαν στο πλαίσιο της ενίσχυσης της προστασίας της επαληθευμένης εκκίνησης και οι διανομές χρησιμοποιούν ενημερώσεις κώδικα τρίτων για να αποκλείουν την παράκαμψη της Ασφαλούς εκκίνησης UEFI για αρκετό καιρό. Ταυτόχρονα, τέτοιοι περιορισμοί δεν συμπεριλήφθηκαν στην κύρια σύνθεση του πυρήνα λόγω
Η λειτουργία κλειδώματος περιορίζει την πρόσβαση στα /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes λειτουργία εντοπισμού σφαλμάτων, mmiotrace, tracefs, BPF, PCMCIA CIS (Δομή πληροφοριών κάρτας), ορισμένες διεπαφές ACPI και CPU Οι καταχωρίσεις MSR, οι κλήσεις kexec_file και kexec_load είναι αποκλεισμένες, η κατάσταση αναστολής λειτουργίας απαγορεύεται, η χρήση DMA για συσκευές PCI είναι περιορισμένη, η εισαγωγή κωδικού ACPI από τις μεταβλητές EFI απαγορεύεται,
Δεν επιτρέπονται χειρισμοί με θύρες I/O, συμπεριλαμβανομένης της αλλαγής του αριθμού διακοπής και της θύρας I/O για τη σειριακή θύρα.
Από προεπιλογή, η μονάδα κλειδώματος δεν είναι ενεργή, δημιουργείται όταν η επιλογή SECURITY_LOCKDOWN_LSM καθορίζεται στο kconfig και ενεργοποιείται μέσω της παραμέτρου του πυρήνα "lockdown=", του αρχείου ελέγχου "/sys/kernel/security/lockdown" ή των επιλογών συναρμολόγησης
Είναι σημαντικό να σημειωθεί ότι το κλείδωμα περιορίζει μόνο την τυπική πρόσβαση στον πυρήνα, αλλά δεν προστατεύει από τροποποιήσεις ως αποτέλεσμα εκμετάλλευσης τρωτών σημείων. Για τον αποκλεισμό αλλαγών στον πυρήνα που εκτελείται όταν χρησιμοποιούνται exploit από το έργο Openwall
Πηγή: opennet.ru