Linus Torvalds
Om en angripare uppnår kodexekvering med roträttigheter kan han exekvera sin kod på kärnnivån, till exempel genom att ersätta kärnan med kexec eller läs-/skrivminne via /dev/kmem. Den mest uppenbara konsekvensen av sådan verksamhet kan vara
Ursprungligen utvecklades rotbegränsningsfunktioner i samband med att stärka skyddet för verifierad uppstart, och distributioner har använt tredjepartspatchar för att blockera bypass av UEFI Secure Boot under ganska lång tid. Samtidigt ingick inte sådana restriktioner i kärnans huvudsammansättning pga
Låsningsläge begränsar åtkomsten till /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), vissa ACPI-gränssnitt och CPU MSR-register, kexec_file och kexec_load-anrop är blockerade, viloläge är förbjudet, DMA-användning för PCI-enheter är begränsad, ACPI-kodimport från EFI-variabler är förbjuden,
Manipulationer med I/O-portar är inte tillåtna, inklusive ändring av avbrottsnumret och I/O-porten för serieporten.
Som standard är lockdown-modulen inte aktiv, den byggs när alternativet SECURITY_LOCKDOWN_LSM anges i kconfig och aktiveras genom kärnparametern "lockdown=", kontrollfilen "/sys/kernel/security/lockdown" eller monteringsalternativ
Det är viktigt att notera att lockdown endast begränsar standardåtkomst till kärnan, men skyddar inte mot ändringar som ett resultat av exploatering av sårbarheter. För att blockera ändringar av den körande kärnan när exploateringar används av Openwall-projektet
Källa: opennet.ru