Linus Torvalds
Se atakanto sukcesis ekzekuti kodon kun radikrajtoj kiel rezulto de atako, tiam li povas ekzekuti sian kodon ĉe la kernnivelo, ekzemple, anstataŭigante la kernon per kexec aŭ legado/skribado de memoro per /dev/kmem. La plej evidenta sekvo de tia agado estus
Radikaj limigoj estis origine evoluigitaj en la kunteksto de hardado de kontrolita lanĉsekureco, kaj distribuoj longe uzis triapartajn diakilojn por bloki UEFI Secure Boot-pretervojon. Samtempe, tiaj limigoj ne estis inkluditaj en la ĉefa komponado de la kerno pro
Lockdown limigas aliron al /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes-sencimreĝimo, mmiotrace, tracefs, BPF, PCMCIA CIS (Karto-Informstrukturo), kelkaj ACPI-interfacoj, kaj CPU MSR-registroj, kexec_file kaj kexec_load alvokoj estas blokitaj, vintrodormo estas malpermesita, DMA-uzado por PCI-aparatoj estas limigita, ACPI-koda importo de EFI-variabloj estas malpermesita,
I/O-havenmanipulado ne estas permesita, inkluzive de ŝanĝado de la interrompa nombro kaj I/O-haveno por la seria haveno.
Defaŭlte, la ŝlosa modulo estas neaktiva, konstruita per specifo de la opcio SECURITY_LOCKDOWN_LSM en kconfig, kaj ebligita per la parametro lockdown= kernel, la /sys/kernel/security/lockdown-kontroldosiero aŭ konstruopcioj.
Samtempe, gravas noti, ke blokado nur limigas la regulan aliron al la kerno, sed ne protektas kontraŭ modifoj rezulte de ekspluatado de vundeblecoj. Por bloki ŝanĝojn al la kuranta kerno kiam vi uzas ekspluataĵojn de la projekto Openwall
fonto: opennet.ru