Linus Torvalds
Jeśli atakujący wykona kod z uprawnieniami roota, może wykonać swój kod na poziomie jądra, na przykład poprzez wymianę jądra za pomocą kexec lub odczyt/zapis pamięci poprzez /dev/kmem. Najbardziej oczywistą konsekwencją takiego działania może być
Początkowo funkcje ograniczeń rootowania opracowywano w kontekście wzmocnienia ochrony zweryfikowanego rozruchu, a dystrybucje od dłuższego czasu korzystają z poprawek innych firm, aby blokować obejście UEFI Secure Boot. Jednocześnie takie ograniczenia nie zostały uwzględnione w głównym składzie jądra ze względu na
Tryb blokady ogranicza dostęp do /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes mode debug, mmiotrace, tracifs, BPF, PCMCIA CIS (struktura informacji o karcie), niektórych interfejsów ACPI i procesora Rejestry MSR, wywołania kexec_file i kexec_load są blokowane, tryb uśpienia jest zabroniony, użycie DMA dla urządzeń PCI jest ograniczone, import kodu ACPI ze zmiennych EFI jest zabroniony,
Niedozwolone są manipulacje na portach I/O, w tym zmiana numeru przerwania i portu I/O dla portu szeregowego.
Domyślnie moduł blokujący nie jest aktywny, jest budowany, gdy w kconfig określono opcję SECURITY_LOCKDOWN_LSM i jest aktywowany poprzez parametr jądra „lockdown=”, plik kontrolny „/sys/kernel/security/lockdown” lub opcje montażu
Warto zaznaczyć, że lockdown ogranicza jedynie standardowy dostęp do jądra, ale nie chroni przed modyfikacjami w wyniku wykorzystania luk. Aby zablokować zmiany w działającym jądrze, gdy projekt Openwall wykorzystuje exploity
Źródło: opennet.ru