Linus Torvalds
Se un utente malintenzionato riesce ad eseguire il codice con diritti di root, può eseguirlo a livello del kernel, ad esempio sostituendo il kernel utilizzando kexec o leggendo/scrivendo la memoria tramite /dev/kmem. La conseguenza più ovvia di tale attività potrebbe essere
Inizialmente, le funzioni di restrizione root sono state sviluppate nel contesto del rafforzamento della protezione dell'avvio verificato e le distribuzioni utilizzano da tempo patch di terze parti per bloccare il bypass di UEFI Secure Boot. Allo stesso tempo, tali restrizioni non sono state incluse nella composizione principale del kernel a causa di
La modalità di blocco limita l'accesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modalità debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alcune interfacce ACPI e CPU I registri MSR, le chiamate kexec_file e kexec_load sono bloccati, la modalità sospensione è vietata, l'uso di DMA per i dispositivi PCI è limitato, l'importazione del codice ACPI dalle variabili EFI è vietata,
Non sono consentite manipolazioni con le porte I/O, inclusa la modifica del numero di interrupt e della porta I/O per la porta seriale.
Per impostazione predefinita, il modulo di blocco non è attivo, viene creato quando l'opzione SECURITY_LOCKDOWN_LSM è specificata in kconfig e viene attivato tramite il parametro del kernel “lockdown=", il file di controllo "/sys/kernel/security/lockdown" o le opzioni di assembly
È importante notare che il blocco limita solo l’accesso standard al kernel, ma non protegge dalle modifiche derivanti dallo sfruttamento delle vulnerabilità. Per bloccare le modifiche al kernel in esecuzione quando gli exploit vengono utilizzati dal progetto Openwall
Fonte: opennet.ru