Լինուս Տորվալդս
Եթե հարձակվողը հասնում է կոդի կատարման արմատային իրավունքներով, նա կարող է իր կոդը գործարկել միջուկի մակարդակում, օրինակ՝ փոխարինելով միջուկը kexec-ի միջոցով կամ կարդալով/գրելով հիշողությունը /dev/kmem-ի միջոցով: Նման գործունեության ամենաակնառու հետևանքը կարող է լինել
Սկզբում արմատային սահմանափակման գործառույթները մշակվել են ստուգված բեռնախցիկի պաշտպանությունն ուժեղացնելու համատեքստում, և բաշխումները բավականին երկար ժամանակ օգտագործում են երրորդ կողմի պատչերը՝ արգելափակելու UEFI Secure Boot-ի շրջանցումը: Միևնույն ժամանակ, նման սահմանափակումները չեն ներառվել միջուկի հիմնական կազմում՝ պայմանավորված
Կողպման ռեժիմը սահմանափակում է մուտքը /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes կարգաբերման ռեժիմ, mmiotrace, tracefs, BPF, PCMCIA CIS (Քարտի տեղեկատվական կառուցվածք), որոշ ACPI միջերեսներ և պրոցեսոր: MSR գրանցամատյանները, kexec_file և kexec_load զանգերն արգելափակված են, քնի ռեժիմն արգելված է, DMA-ի օգտագործումը PCI սարքերի համար սահմանափակ է, ACPI կոդի ներմուծումը EFI փոփոխականներից արգելված է,
Չի թույլատրվում I/O պորտերով մանիպուլյացիաները, ներառյալ սերիական պորտի համար ընդհատման համարը և I/O պորտը փոխելը:
Լռելյայնորեն, արգելափակման մոդուլը ակտիվ չէ, այն ստեղծվում է, երբ kconfig-ում նշված է SECURITY_LOCKDOWN_LSM տարբերակը և ակտիվանում է միջուկի «lockdown=» պարամետրի, կառավարման ֆայլի «/sys/kernel/security/lockdown» կամ հավաքման ընտրանքների միջոցով:
Կարևոր է նշել, որ արգելափակումը սահմանափակում է միայն միջուկի ստանդարտ մուտքը, բայց չի պաշտպանում խոցելիությունների շահագործման արդյունքում փոփոխություններից: Գործող միջուկի փոփոխություններն արգելափակելու համար, երբ Exploit-ներն օգտագործվում են Openwall նախագծի կողմից
Source: opennet.ru