Лінус Торвальдс
Якщо зловмисник в результаті атаки досяг виконання коду з правами root, то він може виконати свій код і на рівні ядра, наприклад, через заміну ядра за допомогою kexec або читання/запису пам'яті через /dev/kmem. Найбільш очевидним наслідком такої активності може стати
Спочатку функції обмеження root розвивалися в контексті посилення захисту верифікованого завантаження і дистрибутиви вже давно застосовують сторонні патчі для блокування обходу UEFI Secure Boot. При цьому в основний склад ядра такі обмеження не включалися через
У режимі lockdown обмежується доступ до /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, налагоджувального режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), деяких інтерфейсів ACPI та MSR-регістрам CPU, блокуються виклики kexec_file і kexec_load, забороняється перехід у сплячий режим, лімітується використання DMA для PCI-пристроїв, забороняється імпорт коду ACPI зі змінних EFI,
не допускаються маніпуляції з портами вводу/виводу, у тому числі зміна номера переривання та порту введення/виводу для послідовного порту.
За замовчуванням модуль lockdown не активний, збирається при вказівці в kconfig опції SECURITY_LOCKDOWN_LSM і активується через параметр ядра lockdown=, керуючий файл /sys/kernel/security/lockdown або складальні опції
При цьому важливо відзначити, що lockdown лише обмежує штатні можливості доступу до ядра, але не захищає від модифікацій внаслідок експлуатації вразливостей. Для блокування внесення змін до працюючого ядра при застосуванні експлоїтів проектом Openwall
Джерело: opennet.ru