Linus Torvalds
As in oanfaller koade-útfiering berikt mei root-rjochten, kin hy syn koade op kernelnivo útfiere, bygelyks troch de kearn te ferfangen mei kexec of lês-/skriuwûnthâld fia /dev/kmem. De meast foar de hân lizzende gefolch fan sa'n aktiviteit kin wêze
Yn 't earstoan waarden funksjes foar rootbeheining ûntwikkele yn' e kontekst fan it fersterkjen fan 'e beskerming fan ferifiearre boot, en distribúsjes hawwe patches fan tredden brûkt om bypass fan UEFI Secure Boot in skoft te blokkearjen. Tagelyk waarden sokke beheiningen net opnommen yn 'e wichtichste gearstalling fan' e kearn fanwegen
Lockdown-modus beheint tagong ta /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugmodus, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), guon ACPI-ynterfaces en CPU MSR-registers, kexec_file en kexec_load-oanroppen binne blokkearre, sliepmodus is ferbean, DMA-gebrûk foar PCI-apparaten is beheind, ACPI-koade ymportearje fan EFI-fariabelen is ferbean,
Manipulaasjes mei I / O havens binne net tastien, ynklusyf it feroarjen fan it interrupt nûmer en I / O haven foar de serial haven.
Standert is de lockdown-module net aktyf, it is boud as de SECURITY_LOCKDOWN_LSM-opsje is oantsjutte yn kconfig en wurdt aktivearre fia de kernelparameter "lockdown=", it kontrôletriem "/sys/kernel/security/lockdown" of assemblage-opsjes
It is wichtich om te notearjen dat lockdown allinich standert tagong ta de kernel beheint, mar net beskermet tsjin wizigingen as gefolch fan eksploitaasje fan kwetsberens. Om feroarings oan 'e rinnende kernel te blokkearjen as eksploaten wurde brûkt troch it Openwall-projekt
Boarne: opennet.ru