Linus Torvalds
Erasotzaile batek erro-eskubideekin kodea exekutatzea lortzen badu, bere kodea kernel mailan exekutatu dezake, adibidez, kexec erabiliz nukleoa ordezkatuz edo /dev/kmem bidez irakurtzeko/idazteko memoria. Jarduera horren ondoriorik nabarmenena izan daiteke
Hasieran, erro-murriztapen-funtzioak egiaztatutako abioaren babesa indartzeko testuinguruan garatu ziren, eta banaketak hirugarrenen adabakiak erabiltzen ari dira UEFI Secure Boot saihestea blokeatzeko. Aldi berean, murrizketa horiek ez ziren kernelaren osaera nagusian sartu
Blokeo moduak /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes arazketa modua, mmiotrace, tracefs, BPF, PCMCIA CIS (Txartel Informazio Egitura), ACPI interfaze batzuetara eta CPUrako sarbidea mugatzen du. MSR erregistroak, kexec_file eta kexec_load deiak blokeatuta daude, lo modua debekatuta dago, PCI gailuetarako DMA erabilera mugatua da, ACPI kodea EFI aldagaietatik inportatzea debekatuta dago,
Ez dira onartzen I/O portuekin manipulazioak, serieko atakaren eten-zenbakia eta I/O ataka aldatzea barne.
Lehenespenez, blokeo-modulua ez dago aktibo, SECURITY_LOCKDOWN_LSM aukera kconfig-en zehazten denean eraikitzen da eta nukleoaren "lockdown=" parametroaren bidez aktibatzen da, "/sys/kernel/security/lockdown" kontrol fitxategia edo muntaia aukeren bidez.
Garrantzitsua da ohartzea blokeoak nukleorako sarbide estandarra soilik mugatzen duela, baina ez duela babesten ahultasunen ustiapenaren ondoriozko aldaketetatik. Exekutatzen den nukleoan aldaketak blokeatzeko Openwall proiektuak ustiapenak erabiltzen dituenean
Iturria: opennet.ru