Linus Torvalds
Jos hyökkääjä suorittaa koodin pääkäyttäjän oikeuksin, hän voi suorittaa koodinsa ydintasolla, esimerkiksi korvaamalla ytimen kexecillä tai luku-/kirjoitusmuistin kautta /dev/kmem. Selkein seuraus tällaisesta toiminnasta voi olla
Aluksi juurirajoitustoimintoja kehitettiin vahvistetun käynnistyksen suojan vahvistamisen yhteydessä, ja jakelut ovat käyttäneet kolmannen osapuolen korjaustiedostoja estämään UEFI Secure Bootin ohituksen jo jonkin aikaa. Samaan aikaan tällaisia rajoituksia ei sisällytetty ytimen pääkoostumukseen johtuen
Lukitustila rajoittaa pääsyä kohteisiin /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), eräät ACPI-liitännät ja suoritin. MSR-rekisterit, kexec_file- ja kexec_load-kutsut estetään, lepotila on kielletty, DMA-käyttö PCI-laitteille on rajoitettu, ACPI-koodin tuonti EFI-muuttujista on kielletty,
I/O-porttien käsittely ei ole sallittua, mukaan lukien sarjaportin keskeytysnumeron ja I/O-portin muuttaminen.
Oletusarvoisesti lukitusmoduuli ei ole aktiivinen, se rakennetaan, kun kconfigissa on määritetty SECURITY_LOCKDOWN_LSM-vaihtoehto ja se aktivoidaan ytimen parametrin "lockdown=", ohjaustiedoston "/sys/kernel/security/lockdown" tai kokoonpanoasetusten kautta.
On tärkeää huomata, että lukitus rajoittaa vain normaalia pääsyä ytimeen, mutta ei suojaa haavoittuvuuksien hyödyntämisen aiheuttamilta muutoksilta. Estä käynnissä olevan ytimen muutokset, kun Openwall-projekti käyttää hyväksikäyttöä
Lähde: opennet.ru