リーナス・トーバルズ
攻撃者がルート権限でコードを実行すると、kexec を使用してカーネルを置き換えたり、/dev/kmem を介してメモリの読み取り/書き込みを行ったりすることにより、カーネル レベルでコードを実行できます。 このような活動の最も明白な結果は次のとおりです。
当初、ルート制限機能は検証済みブートの保護を強化するという文脈で開発され、ディストリビューションではかなり長い間、サードパーティのパッチを使用して UEFI セキュア ブートのバイパスをブロックしてきました。 同時に、そのような制限はカーネルの主要な構成には含まれていませんでした。
ロックダウン モードでは、/dev/mem、/dev/kmem、/dev/port、/proc/kcore、debugfs、kprobes デバッグ モード、mmiotrace、tracefs、BPF、PCMCIA CIS (カード情報構造)、一部の ACPI インターフェイスおよび CPU へのアクセスが制限されます。 MSR レジスタ、kexec_file および kexec_load 呼び出しはブロックされ、スリープ モードは禁止され、PCI デバイスの DMA 使用は制限され、EFI 変数からの ACPI コードのインポートは禁止されます。
シリアルポートの割り込み番号や I/O ポートの変更を含む、I/O ポートの操作は許可されません。
デフォルトでは、ロックダウン モジュールはアクティブではありません。ロックダウン モジュールは、kconfig で SECURITY_LOCKDOWN_LSM オプションが指定されているときに構築され、カーネル パラメータ「lockdown=」、制御ファイル「/sys/kernel/security/lockdown」またはアセンブリ オプションを通じてアクティブになります。
ロックダウンはカーネルへの標準アクセスを制限するだけであり、脆弱性の悪用による変更を防ぐものではないことに注意することが重要です。 Openwall プロジェクトによってエクスプロイトが使用される場合に、実行中のカーネルへの変更をブロックするには
出所: オープンネット.ru