Linus Torvalds
Wann en Ugräifer d'Code-Ausféierung mat Root-Rechter erreecht, kann hien säi Code um Kernel-Niveau ausféieren, zum Beispill andeems de Kernel mat kexec ersetzt oder d'Lies-/Schreiwe-Erënnerung iwwer /dev/kmem ersetzt. Déi offensichtlechst Konsequenz vun esou Aktivitéit kann sinn
Am Ufank goufen d'Root Restriktiounsfunktiounen am Kontext vun der Stäerkung vum Schutz vu verifizéiertem Boot entwéckelt, a Verdeelungen hunn Drëtt-Partei Patches benotzt fir de Bypass vum UEFI Secure Boot fir eng laang Zäit ze blockéieren. Zur selwechter Zäit goufen esou Restriktiounen net an der Haaptzesummesetzung vum Kernel abegraff wéinst
Sperrmodus beschränkt Zougang zu /dev/mem, /dev/kmem, /dev/port, /proc/kcore, Debugfs, kprobes Debug Mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), e puer ACPI Interfaces an CPU MSR Registere, kexec_file an kexec_load Uruff sinn blockéiert, Schlofmodus ass verbueden, DMA Notzung fir PCI Geräter ass limitéiert, ACPI Code Import vun EFI Variablen ass verbueden,
Manipulatioune mat ech / O Häfen sinn net erlaabt, dorënner Ännerung vun der Ënnerbriechung Zuel an ech / O port fir de Serien port.
Par défaut ass de Sperrmodul net aktiv, et gëtt gebaut wann d'SECURITY_LOCKDOWN_LSM Optioun an kconfig spezifizéiert ass an duerch de Kernelparameter "lockdown=" aktivéiert gëtt, d'Kontrolldatei "/sys/kernel/security/lockdown" oder Assembléeoptiounen
Et ass wichteg ze bemierken datt de Lockdown nëmmen den Standardzougang zum Kernel limitéiert, awer net géint Ännerungen schützt als Resultat vun der Ausbeutung vu Schwachstelle. Fir Ännerunge vum lafende Kernel ze blockéieren wann Exploiten vum Openwall Projet benotzt ginn
Source: opennet.ru