Linas Torvaldsas
Jei užpuolikas pasiekia kodo vykdymą su root teisėmis, jis gali vykdyti savo kodą branduolio lygiu, pavyzdžiui, pakeisdamas branduolį naudodamas kexec arba skaitydamas / rašydamas atmintį per /dev/kmem. Akivaizdžiausia tokios veiklos pasekmė gali būti
Iš pradžių šakninių apribojimų funkcijos buvo sukurtos siekiant sustiprinti patikrintos įkrovos apsaugą, o platintojai jau ilgą laiką naudoja trečiųjų šalių pataisas, kad blokuotų UEFI saugaus įkrovos apėjimą. Tuo pačiu metu tokie apribojimai nebuvo įtraukti į pagrindinę branduolio sudėtį dėl
Užrakinimo režimas apriboja prieigą prie /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes derinimo režimo, mmiotrace, tracefs, BPF, PCMCIA CIS (kortelės informacijos struktūros), kai kurių ACPI sąsajų ir procesoriaus MSR registrai, kexec_file ir kexec_load iškvietimai blokuojami, miego režimas draudžiamas, DMA naudojimas PCI įrenginiams ribojamas, ACPI kodo importas iš EFI kintamųjų draudžiamas,
Manipuliacijos su I/O prievadais neleidžiamos, įskaitant nuosekliojo prievado pertraukimo numerio ir I/O prievado keitimą.
Pagal numatytuosius nustatymus blokavimo modulis nėra aktyvus, jis sukuriamas, kai kconfig nurodyta parinktis SECURITY_LOCKDOWN_LSM ir aktyvuojama naudojant branduolio parametrą „lockdown=“, valdymo failą „/sys/kernel/security/lockdown“ arba surinkimo parinktis.
Svarbu pažymėti, kad užrakinimas riboja tik standartinę prieigą prie branduolio, bet neapsaugo nuo pakeitimų, atsirandančių dėl pažeidžiamumų išnaudojimo. Užblokuoti veikiančio branduolio pakeitimus, kai Openwall projektas naudoja išnaudojimus
Šaltinis: opennet.ru