Linus Torvalds
Dacă un atacator realizează executarea codului cu drepturi de rădăcină, el își poate executa codul la nivel de kernel, de exemplu, înlocuind nucleul folosind kexec sau memorie de citire/scriere prin /dev/kmem. Cea mai evidentă consecință a unei astfel de activități poate fi
Inițial, funcțiile de restricție la rădăcină au fost dezvoltate în contextul întăririi protecției boot-ului verificat, iar distribuțiile folosesc patch-uri de la terți pentru a bloca ocolirea UEFI Secure Boot de ceva timp. În același timp, astfel de restricții nu au fost incluse în compoziția principală a nucleului din cauza
Modul de blocare restricționează accesul la /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), unele interfețe ACPI și CPU Registrele MSR, apelurile kexec_file și kexec_load sunt blocate, modul de repaus este interzis, utilizarea DMA pentru dispozitivele PCI este limitată, importul codului ACPI din variabilele EFI este interzis,
Manipulările cu porturile I/O nu sunt permise, inclusiv modificarea numărului de întrerupere și a portului I/O pentru portul serial.
Implicit, modulul de blocare nu este activ, este construit atunci când în kconfig este specificată opțiunea SECURITY_LOCKDOWN_LSM și este activată prin parametrul nucleului „lockdown=”, fișierul de control „/sys/kernel/security/lockdown” sau opțiunile de asamblare
Este important de reținut că blocarea limitează doar accesul standard la nucleu, dar nu protejează împotriva modificărilor ca urmare a exploatării vulnerabilităților. Pentru a bloca modificările aduse nucleului care rulează atunci când exploatările sunt folosite de proiectul Openwall
Sursa: opennet.ru