Linus Torvalds
Ha egy támadó root jogokkal hajtja végre a kódot, akkor végrehajthatja a kódját a kernel szintjén, például úgy, hogy lecseréli a kernelt a kexec használatával, vagy a /dev/kmem fájl olvasási/írási memóriájával. Az ilyen tevékenység legnyilvánvalóbb következménye lehet
Kezdetben a gyökérkorlátozási funkciókat az ellenőrzött rendszerindítás védelmének megerősítésével összefüggésben fejlesztették ki, és a disztribúciók már jó ideje harmadik féltől származó javításokat használnak az UEFI Secure Boot megkerülésének blokkolására. Ugyanakkor az ilyen korlátozások nem szerepeltek a kernel fő összetételében, mivel
A zárolási mód korlátozza a hozzáférést a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes hibakeresési mód, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), egyes ACPI interfészekhez és CPU-hoz Az MSR-regiszterek, a kexec_file és a kexec_load hívások blokkolva vannak, az alvó üzemmód tiltva, a DMA-használat PCI-eszközökhöz korlátozott, az ACPI-kód importálása EFI-változókból tilos,
Az I/O portokkal végzett manipuláció nem megengedett, beleértve a soros port megszakítási számának és I/O portjának megváltoztatását.
Alapértelmezés szerint a lockdown modul nem aktív, akkor épül fel, ha a SECURITY_LOCKDOWN_LSM opciót a kconfig-ban adják meg, és a kernel "lockdown=" paraméterével, a "/sys/kernel/security/lockdown" vezérlőfájllal vagy az összeállítási beállításokkal aktiválják.
Fontos megjegyezni, hogy a zárolás csak korlátozza a rendszermaghoz való normál hozzáférést, de nem véd a sebezhetőségek kihasználása miatti módosításoktól. A futó kernel változásainak blokkolása, amikor az Openwall projekt exploitokat használ
Forrás: opennet.ru