Linus Torvalds
Nëse një sulmues arrin ekzekutimin e kodit me të drejta rrënjësore, ai mund të ekzekutojë kodin e tij në nivelin e kernelit, për shembull, duke zëvendësuar kernelin duke përdorur kexec ose duke lexuar/shkruar memorie nëpërmjet /dev/kmem. Pasoja më e dukshme e një aktiviteti të tillë mund të jetë
Fillimisht, funksionet e kufizimit të rrënjës u zhvilluan në kontekstin e forcimit të mbrojtjes së nisjes së verifikuar dhe shpërndarjet kanë përdorur arna të palëve të treta për të bllokuar anashkalimin e UEFI Secure Boot për mjaft kohë. Në të njëjtën kohë, kufizime të tilla nuk u përfshinë në përbërjen kryesore të kernelit për shkak të
Modaliteti i bllokimit kufizon aksesin në /dev/mem, /dev/kmem, /dev/port, /proc/kcore, korrigjimin e gabimeve, modalitetin e korrigjimit të kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktura e Informacionit të Kartës), disa ndërfaqe ACPI dhe CPU Regjistrat MSR, thirrjet kexec_file dhe kexec_load janë të bllokuara, modaliteti i gjumit është i ndaluar, përdorimi i DMA për pajisjet PCI është i kufizuar, importimi i kodit ACPI nga variablat EFI është i ndaluar,
Nuk lejohen manipulimet me portet I/O, duke përfshirë ndryshimin e numrit të ndërprerjes dhe portës I/O për portën serike.
Si parazgjedhje, moduli i bllokimit nuk është aktiv, ai ndërtohet kur opsioni SECURITY_LOCKDOWN_LSM është specifikuar në kconfig dhe aktivizohet përmes parametrit të kernelit "lockdown=", skedarit të kontrollit "/sys/kernel/security/lockdown" ose opsioneve të montimit.
Është e rëndësishme të theksohet se bllokimi kufizon vetëm aksesin standard në kernel, por nuk mbron nga modifikimet si rezultat i shfrytëzimit të dobësive. Për të bllokuar ndryshimet në kernelin ekzekutiv kur shfrytëzimet përdoren nga projekti Openwall
Burimi: opennet.ru