Linus Torvalds In emissione venturi Linux 5.4 nucleus inclusus est inaequalis statutus "", David Howells (Red Hat) et Matthaeus Garrett., operatur apud Google) ad restringere accessum ad nucleum radicis usoris. Lockdown-related functionality comprehenditur per optionally oneratas LSM modulus () quod impedimentum inter UID 0 et nucleum locat, quaedam humili gradu functionality restringens.
Si percussor codicem exsecutionem cum iuribus radicibus attingit, codicem suum ad nucleum gradu fungi potest, exempli gratia, nucleo utendo kexec vel legendi/dev/kmem memoriam scribendo. Manifestissimum consecutio talis actio sit UEFI Secura Boot seu notitia sensitiva recuperandi ad nucleum gradu reposita.
Initio functiones restrictionis radicis auctae sunt in contextu confirmandi tutelam veri- tatis tabernus, et distributiones tertiam partem inaequaliter adhibitam esse, ut praetereuntem UEFI Boot Secure per aliquod tempus intercluderent. Eodem tempore talia restrictiones in principali compositione nuclei ob in eorum exsecutione et timores distractionis ad systemata exsistentium. Modulus "lockdown" inaequalis inaequaliter iam in distributionibus adhibitus est, quae in forma subsystem separati subsystem non ligatum ad UEFI Boot Secure alligati sunt.
Lockdown modus restringit accessum ad /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugs, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure) interfaces quaedam ACPI et CPU MSR registra, kexec_file et kexec_load vocationum praecluduntur, modus somni prohibetur, DMA usus ad PCI machinis limitatur, ACPI signum importare ab EF variabilibus prohibetur;
Manipulationes cum I/O portubus non permittuntur, addito numero interregem mutato et I/O portum pro portu Vide.
Defalta, modulus lockdown non est activus, aedificatur cum optio SECURITY_LOCKDOWN_LSM in kconfig determinatur et per modulum nuclei "lockdown" reducitur, fasciculi imperium "/sys/kernel/securitatis/lockdown" vel optiones conventus quae possunt accipere bona "integritas" et "secretatio". In primo casu, lineamenta quae permittunt mutationes fieri ad nucleum de spatio usoris impediuntur, et in secundo casu, functionalitas quae ad informationes sensitivas ex nucleo eliciendas adhiberi potest, etiam debilitata est.
Gravis est notare quod lockdown solum limitat vexillum accessum ad nucleum, sed contra modificationes non protegit propter abusus vulnerabilium. Ad mutationes nuclei cursus angustos cum res gestae ab Openwall incepta adhibentur separatum moduli (Linux Kernel Runtime Custodi).
Source: opennet.ru