Linus Torvalds
Ak útočník dosiahne spustenie kódu s právami root, môže svoj kód spustiť na úrovni jadra, napríklad nahradením jadra pomocou kexecu alebo čítaním/zápisom pamäte cez /dev/kmem. Najzrejmejším dôsledkom takejto činnosti môže byť
Pôvodne boli funkcie obmedzenia root vyvinuté v kontexte posilnenia ochrany overeného bootovania a distribúcie už nejaký čas používajú záplaty tretích strán na blokovanie obchádzania UEFI Secure Boot. Zároveň takéto obmedzenia neboli zahrnuté do hlavného zloženia jadra kvôli
Režim uzamknutia obmedzuje prístup k /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), niektorým rozhraniam ACPI a CPU Registre MSR, volania kexec_file a kexec_load sú zablokované, režim spánku je zakázaný, používanie DMA pre zariadenia PCI je obmedzené, import ACPI kódu z premenných EFI je zakázaný,
Nie sú povolené žiadne manipulácie s I/O portami, vrátane zmeny čísla prerušenia a I/O portu pre sériový port.
V predvolenom nastavení nie je blokovací modul aktívny, je zostavený, keď je v kconfig špecifikovaná možnosť SECURITY_LOCKDOWN_LSM a je aktivovaný cez parameter jadra „lockdown=“, riadiaci súbor „/sys/kernel/security/lockdown“ alebo voľby zostavy
Je dôležité poznamenať, že uzamknutie obmedzuje iba štandardný prístup k jadru, ale nechráni pred úpravami v dôsledku zneužitia zraniteľností. Blokovať zmeny v spustenom jadre, keď projekt Openwall používa exploity
Zdroj: opennet.ru