Linus Torvalds
Jika penyerang mencapai pelaksanaan kod dengan hak akar, dia boleh melaksanakan kodnya pada peringkat kernel, contohnya, dengan menggantikan kernel menggunakan kexec atau membaca/menulis memori melalui /dev/kmem. Akibat yang paling jelas daripada aktiviti sedemikian mungkin
Pada mulanya, fungsi sekatan akar telah dibangunkan dalam konteks mengukuhkan perlindungan but yang disahkan, dan pengedaran telah menggunakan tampung pihak ketiga untuk menyekat pintasan UEFI Secure Boot untuk beberapa lama. Pada masa yang sama, sekatan tersebut tidak termasuk dalam komposisi utama kernel kerana
Mod Lockdown mengehadkan akses kepada /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mod nyahpepijat kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Maklumat Kad), beberapa antara muka ACPI dan CPU Daftar MSR, panggilan kexec_file dan kexec_load disekat, mod tidur adalah dilarang, penggunaan DMA untuk peranti PCI adalah terhad, import kod ACPI daripada pembolehubah EFI adalah dilarang,
Manipulasi dengan port I/O tidak dibenarkan, termasuk menukar nombor gangguan dan port I/O untuk port bersiri.
Secara lalai, modul penguncian tidak aktif, ia dibina apabila pilihan SECURITY_LOCKDOWN_LSM ditentukan dalam kconfig dan diaktifkan melalui parameter kernel "lockdown=", fail kawalan "/sys/kernel/security/lockdown" atau pilihan pemasangan
Adalah penting untuk ambil perhatian bahawa penguncian hanya mengehadkan akses standard kepada kernel, tetapi tidak melindungi daripada pengubahsuaian akibat daripada eksploitasi kelemahan. Untuk menyekat perubahan pada kernel yang sedang berjalan apabila eksploitasi digunakan oleh projek Openwall
Sumber: opennet.ru