Linus Torvalds
Ef árásarmaður nær keyrslu kóða með rótarréttindum getur hann keyrt kóðann sinn á kjarnastigi, til dæmis með því að skipta um kjarna með því að nota kexec eða lestur/skrifaminni í gegnum /dev/kmem. Augljósasta afleiðing slíkrar starfsemi getur verið
Upphaflega voru róttakmörkunaraðgerðir þróaðar í samhengi við að efla vernd staðfestrar ræsingar og dreifingar hafa notað plástra frá þriðja aðila til að loka fyrir framhjáhlaup UEFI Secure Boot í nokkuð langan tíma. Á sama tíma voru slíkar takmarkanir ekki teknar inn í aðalsamsetningu kjarnans vegna
Lokunarhamur takmarkar aðgang að /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sumum ACPI tengi og CPU MSR skrár, kexec_file og kexec_load símtöl eru læst, svefnstilling er bönnuð, DMA notkun fyrir PCI tæki er takmörkuð, ACPI kóða innflutningur frá EFI breytum er bannaður,
Meðhöndlun með I/O tengi eru ekki leyfð, þar á meðal að breyta truflunarnúmeri og I/O tengi fyrir raðtengi.
Sjálfgefið er að læsingareiningin er ekki virk, hún er byggð þegar SECURITY_LOCKDOWN_LSM valkosturinn er tilgreindur í kconfig og er virkjaður með kjarnabreytu „lockdown=“, stýriskránni „/sys/kernel/security/lockdown“ eða samsetningarvalkostum
Það er mikilvægt að hafa í huga að lokun takmarkar aðeins staðlaðan aðgang að kjarnanum, en verndar ekki gegn breytingum vegna misnotkunar á veikleikum. Til að loka fyrir breytingar á hlaupandi kjarna þegar hetjudáð er notað af Openwall verkefninu
Heimild: opennet.ru