Linus Torvalds
Ako napadač postigne izvršenje koda s root pravima, može izvršiti svoj kod na razini kernela, na primjer, zamjenom kernela koristeći kexec ili čitanje/pisanje memorije putem /dev/kmem. Najočitija posljedica takve aktivnosti može biti
U početku su funkcije ograničenja roota razvijene u kontekstu jačanja zaštite provjerenog pokretanja, a distribucije već duže vrijeme koriste zakrpe trećih strana za blokiranje zaobilaženja UEFI Secure Boot. U isto vrijeme, takva ograničenja nisu bila uključena u glavni sastav jezgre zbog
Način zaključavanja ograničava pristup /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), neka ACPI sučelja i CPU MSR registri, kexec_file i kexec_load pozivi su blokirani, režim mirovanja je zabranjen, upotreba DMA za PCI uređaje je ograničena, uvoz ACPI koda iz EFI varijabli je zabranjen,
Manipulacije s I/O portovima nisu dopuštene, uključujući promjenu broja prekida i I/O porta za serijski port.
Prema zadanim postavkama, modul za zaključavanje nije aktivan, gradi se kada je opcija SECURITY_LOCKDOWN_LSM navedena u kconfig-u i aktivira se kroz parametar kernela “lockdown=”, kontrolnu datoteku “/sys/kernel/security/lockdown” ili opcije sklopa
Važno je napomenuti da zaključavanje samo ograničava standardni pristup jezgri, ali ne štiti od izmjena koje su rezultat iskorištavanja ranjivosti. Za blokiranje promjena na pokrenutom kernelu kada projekt Openwall koristi eksploatacije
Izvor: opennet.ru