Linus Torvalds
Kui ründaja saavutab koodikäituse juurõigustega, saab ta oma koodi käivitada kerneli tasemel, näiteks asendades kerneli kexeci abil või lugemis-/kirjutusmälu läbi /dev/kmem. Sellise tegevuse ilmseim tagajärg võib olla
Algselt töötati juurpiirangu funktsioonid välja kontrollitud alglaadimise kaitse tugevdamise kontekstis ja distributsioonid on juba mõnda aega kasutanud kolmanda osapoole plaastreid, et blokeerida UEFI Secure Booti möödaviigu. Samal ajal ei sisaldunud sellised piirangud tuuma põhikoostises tõttu
Lukustusrežiim piirab juurdepääsu /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes silumisrežiimi, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), mõned ACPI liidesed ja CPU MSR-registrid, kexec_file ja kexec_load kõned on blokeeritud, puhkerežiim on keelatud, DMA kasutamine PCI-seadmete jaoks on piiratud, ACPI koodi import EFI muutujatest on keelatud,
I/O-portidega manipuleerimine, sealhulgas jadapordi katkestuse numbri ja I/O-pordi muutmine, ei ole lubatud.
Vaikimisi ei ole lukustusmoodul aktiivne, see luuakse siis, kui failis kconfig on määratud suvand SECURITY_LOCKDOWN_LSM ja see aktiveeritakse kerneli parameetri "lockdown=", juhtfaili "/sys/kernel/security/lockdown" või montaaživalikute kaudu
Oluline on märkida, et lukustamine piirab ainult standardjuurdepääsu kernelile, kuid ei kaitse turvaaukude ärakasutamisest tulenevate muudatuste eest. Töötava kerneli muudatuste blokeerimiseks, kui Openwalli projekt kasutab exploite
Allikas: opennet.ru