Линус Торвалдс
Ако нападач постигне извршење кода са роот правима, он може да изврши свој код на нивоу кернела, на пример, заменом кернела користећи кекец или меморију за читање/писање преко /дев/кмем. Најочигледнија последица такве активности може бити
У почетку су функције ограничења роот-а развијене у контексту јачања заштите верификованог покретања, а дистрибуције су већ дуже време користиле закрпе трећих страна да блокирају заобилажење УЕФИ Сецуре Боот-а. Истовремено, таква ограничења нису укључена у главни састав језгра због
Режим закључавања ограничава приступ /дев/мем, /дев/кмем, /дев/порт, /проц/кцоре, дебугфс, кпробес режим за отклањање грешака, ммиотраце, трацефс, БПФ, ПЦМЦИА ЦИС (Информациона структура картице), неким АЦПИ интерфејсима и ЦПУ-у МСР регистри, позиви кекец_филе и кекец_лоад су блокирани, режим спавања је забрањен, употреба ДМА за ПЦИ уређаје је ограничена, увоз АЦПИ кода из ЕФИ променљивих је забрањен,
Манипулације са И/О портовима нису дозвољене, укључујући промену броја прекида и И/О порта за серијски порт.
Подразумевано, модул закључавања није активан, направљен је када је опција СЕЦУРИТИ_ЛОЦКДОВН_ЛСМ наведена у кцонфиг и активира се преко параметра кернела „лоцкдовн=“, контролне датотеке „/сис/кернел/сецурити/лоцкдовн“ или опција склопа
Важно је напоменути да закључавање само ограничава стандардни приступ језгру, али не штити од модификација као резултат искоришћавања рањивости. За блокирање промена у покренутом језгру када Опенвалл пројекат користи експлоатацију
Извор: опеннет.ру