Linus Torvalds
Jika penyerang mencapai eksekusi kode dengan hak root, ia dapat mengeksekusi kodenya di tingkat kernel, misalnya dengan mengganti kernel menggunakan kexec atau memori baca/tulis melalui /dev/kmem. Konsekuensi paling nyata dari aktivitas tersebut mungkin adalah
Awalnya, fungsi pembatasan root dikembangkan dalam konteks memperkuat perlindungan boot terverifikasi, dan distribusi telah menggunakan patch pihak ketiga untuk memblokir bypass UEFI Secure Boot selama beberapa waktu. Pada saat yang sama, pembatasan tersebut tidak termasuk dalam komposisi utama kernel karena
Mode penguncian membatasi akses ke /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mode debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Informasi Kartu), beberapa antarmuka ACPI dan CPU Register MSR, panggilan kexec_file dan kexec_load diblokir, mode tidur dilarang, penggunaan DMA untuk perangkat PCI dibatasi, impor kode ACPI dari variabel EFI dilarang,
Manipulasi dengan port I/O tidak diperbolehkan, termasuk mengubah nomor interupsi dan port I/O untuk port serial.
Secara default, modul lockdown tidak aktif, modul ini dibuat ketika opsi SECURITY_LOCKDOWN_LSM ditentukan di kconfig dan diaktifkan melalui parameter kernel “lockdown=”, file kontrol “/sys/kernel/security/lockdown” atau opsi perakitan
Penting untuk dicatat bahwa lockdown hanya membatasi akses standar ke kernel, namun tidak melindungi terhadap modifikasi akibat eksploitasi kerentanan. Untuk memblokir perubahan pada kernel yang sedang berjalan ketika eksploitasi digunakan oleh proyek Openwall
Sumber: opennet.ru