Linus Torvalds
Kung nakamit ng isang attacker ang code execution na may root rights, maaari niyang i-execute ang kanyang code sa kernel level, halimbawa, sa pamamagitan ng pagpapalit ng kernel gamit ang kexec o reading/writing memory sa pamamagitan ng /dev/kmem. Ang pinaka-halatang kahihinatnan ng naturang aktibidad ay maaaring
Sa una, ang mga function ng paghihigpit sa ugat ay binuo sa konteksto ng pagpapalakas ng proteksyon ng na-verify na boot, at ang mga distribusyon ay gumagamit ng mga patch ng third-party upang harangan ang bypass ng UEFI Secure Boot sa loob ng mahabang panahon. Kasabay nito, ang mga naturang paghihigpit ay hindi kasama sa pangunahing komposisyon ng kernel dahil sa
Pinaghihigpitan ng Lockdown mode ang access sa /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), ilang ACPI interface at CPU Ang mga rehistro ng MSR, ang mga tawag sa kexec_file at kexec_load ay naka-block, ipinagbabawal ang sleep mode, ang paggamit ng DMA para sa mga PCI device ay limitado, ang pag-import ng ACPI code mula sa mga variable ng EFI ay ipinagbabawal,
Ang mga manipulasyon sa mga I/O port ay hindi pinapayagan, kabilang ang pagpapalit ng interrupt number at I/O port para sa serial port.
Bilang default, ang module ng lockdown ay hindi aktibo, ito ay binuo kapag ang SECURITY_LOCKDOWN_LSM na opsyon ay tinukoy sa kconfig at na-activate sa pamamagitan ng kernel parameter na "lockdown=", ang control file "/sys/kernel/security/lockdown" o mga opsyon sa pagpupulong
Mahalagang tandaan na nililimitahan lamang ng lockdown ang karaniwang pag-access sa kernel, ngunit hindi pinoprotektahan laban sa mga pagbabago bilang resulta ng pagsasamantala sa mga kahinaan. Upang harangan ang mga pagbabago sa tumatakbong kernel kapag ang mga pagsasamantala ay ginagamit ng proyekto ng Openwall
Pinagmulan: opennet.ru