Linus Torvalds
Se un atacante logra a execución de código con dereitos de root, pode executar o seu código a nivel do núcleo, por exemplo, substituíndo o núcleo mediante kexec ou a memoria de lectura/escritura a través de /dev/kmem. A consecuencia máis obvia desta actividade pode ser
Inicialmente, as funcións de restrición de raíz desenvolvéronse no contexto de reforzar a protección do arranque verificado e as distribucións estiveron usando parches de terceiros para bloquear o bypass de UEFI Secure Boot durante bastante tempo. Ao mesmo tempo, tales restricións non se incluíron na composición principal do núcleo debido a
O modo de bloqueo restrinxe o acceso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes modo depuración, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), algunhas interfaces ACPI e CPU Os rexistros MSR, as chamadas kexec_file e kexec_load están bloqueadas, o modo de suspensión está prohibido, o uso de DMA para dispositivos PCI está limitado, a importación de código ACPI desde variables EFI está prohibida,
Non se permiten manipulacións con portos de E/S, incluído o cambio do número de interrupción e do porto de E/S para o porto serie.
Por defecto, o módulo de bloqueo non está activo, constrúese cando se especifica a opción SECURITY_LOCKDOWN_LSM en kconfig e está activado mediante o parámetro do núcleo "lockdown=", o ficheiro de control "/sys/kernel/security/lockdown" ou as opcións de montaxe.
É importante ter en conta que o bloqueo só limita o acceso estándar ao núcleo, pero non protexe contra as modificacións como resultado da explotación de vulnerabilidades. Para bloquear os cambios no núcleo en execución cando o proxecto Openwall utiliza exploits
Fonte: opennet.ru