Linus Torvalds
Bir saldırgan kök haklarıyla kod yürütmeyi başarırsa, örneğin kexec kullanarak çekirdeği değiştirerek veya /dev/kmem yoluyla okuma/yazma belleği kullanarak kodunu çekirdek düzeyinde çalıştırabilir. Bu tür bir faaliyetin en belirgin sonucu şu olabilir:
Başlangıçta, doğrulanmış önyükleme korumasının güçlendirilmesi bağlamında kök kısıtlama işlevleri geliştirildi ve dağıtımlar, uzun süredir UEFI Güvenli Önyüklemenin atlanmasını engellemek için üçüncü taraf yamaları kullanıyor. Aynı zamanda, çekirdeğin ana bileşimine bu tür kısıtlamalar dahil edilmemiştir.
Kilitleme modu /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes hata ayıklama modu, mmiotrace, tracefs, BPF, PCMCIA CIS (Kart Bilgi Yapısı), bazı ACPI arayüzleri ve CPU'ya erişimi kısıtlar MSR kayıtları, kexec_file ve kexec_load çağrıları engellenir, uyku modu yasaktır, PCI cihazları için DMA kullanımı sınırlıdır, EFI değişkenlerinden ACPI kod içe aktarımı yasaktır,
Seri bağlantı noktası için kesme numarasının ve G/Ç bağlantı noktasının değiştirilmesi dahil, G/Ç bağlantı noktalarıyla manipülasyonlara izin verilmez.
Varsayılan olarak kilitleme modülü etkin değildir; kconfig'te SECURITY_LOCKDOWN_LSM seçeneği belirtildiğinde oluşturulur ve "lockdown=" çekirdek parametresi, "/sys/kernel/security/lockdown" kontrol dosyası veya derleme seçenekleri aracılığıyla etkinleştirilir.
Kilitlemenin yalnızca çekirdeğe standart erişimi sınırladığını ancak güvenlik açıklarından yararlanılması sonucunda yapılacak değişikliklere karşı koruma sağlamadığını unutmamak önemlidir. Openwall projesi tarafından istismarlar kullanıldığında çalışan çekirdekte yapılan değişiklikleri engellemek için
Kaynak: opennet.ru