Linus Torvalds
Če napadalec doseže izvajanje kode s korenskimi pravicami, lahko izvede svojo kodo na ravni jedra, na primer z zamenjavo jedra z uporabo kexeca ali branjem/pisanjem pomnilnika prek /dev/kmem. Najbolj očitna posledica takšne dejavnosti je lahko
Sprva so bile korenske funkcije za omejevanje razvite v okviru krepitve zaščite preverjenega zagona, distribucije pa že nekaj časa uporabljajo popravke tretjih oseb za blokiranje obvoza varnega zagona UEFI. Hkrati takšne omejitve niso bile vključene v glavno sestavo jedra zaradi
Način zaklepanja omejuje dostop do /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), nekaterih vmesnikov ACPI in CPE Registri MSR, klici kexec_file in kexec_load so blokirani, način mirovanja je prepovedan, uporaba DMA za naprave PCI je omejena, uvoz kode ACPI iz spremenljivk EFI je prepovedan,
Manipulacije z V/I vrati niso dovoljene, vključno s spreminjanjem številke prekinitve in V/I vrat za serijska vrata.
Privzeto modul za zaklepanje ni aktiven, zgrajen je, ko je v kconfig podana možnost SECURITY_LOCKDOWN_LSM in se aktivira prek parametra jedra “lockdown=”, nadzorne datoteke “/sys/kernel/security/lockdown” ali možnosti sestavljanja
Pomembno je omeniti, da zaklepanje samo omejuje standardni dostop do jedra, ne ščiti pa pred spremembami, ki so posledica izkoriščanja ranljivosti. Za blokiranje sprememb delujočega jedra, ko projekt Openwall uporablja izkoriščanja
Vir: opennet.ru