Linus Torvalds
Hvis en angriper oppnår kodekjøring med rotrettigheter, kan han kjøre koden sin på kjernenivå, for eksempel ved å erstatte kjernen ved å bruke kexec eller lese-/skriveminne via /dev/kmem. Den mest åpenbare konsekvensen av slik aktivitet kan være
Opprinnelig ble rotbegrensningsfunksjoner utviklet i sammenheng med å styrke beskyttelsen av verifisert oppstart, og distribusjoner har brukt tredjepartspatcher for å blokkere forbipassering av UEFI Secure Boot i ganske lang tid. Samtidig ble slike restriksjoner ikke inkludert i hovedsammensetningen av kjernen pga
Låsemodus begrenser tilgangen til /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), noen ACPI-grensesnitt og CPU MSR-registre, kexec_file og kexec_load-anrop er blokkert, hvilemodus er forbudt, DMA-bruk for PCI-enheter er begrenset, ACPI-kodeimport fra EFI-variabler er forbudt,
Manipulasjoner med I/O-porter er ikke tillatt, inkludert endring av avbruddsnummer og I/O-port for serieporten.
Som standard er låsemodulen ikke aktiv, den bygges når SECURITY_LOCKDOWN_LSM-alternativet er spesifisert i kconfig og aktiveres gjennom kjerneparameteren "lockdown=", kontrollfilen "/sys/kernel/security/lockdown" eller monteringsalternativer
Det er viktig å merke seg at lockdown bare begrenser standardtilgang til kjernen, men beskytter ikke mot modifikasjoner som følge av utnyttelse av sårbarheter. For å blokkere endringer i den kjørende kjernen når utnyttelser brukes av Openwall-prosjektet
Kilde: opennet.ru