Việc giới thiệu tính năng “lockdown” trong nhân Linux vừa được Linus Torvalds chấp thuận, sau nhiều năm thảo luận về chủ đề này. Nhiều bản phân phối hệ điều hành phổ biến nhất đã cung cấp các biến thể của nó trong nhiều năm, nhưng người tạo ra nhân mã nguồn mở trước đây đã miễn cưỡng chèn nó vào nhân hệ điều hành. Tính năng này được trình bày bởi Matthew Garret, một kỹ sư tại Google, người đứng sau nó cùng với David Howells và các nhà phát triển khác. Nó “giới thiệu một tính năng khóa hạt nhân tùy chọn nhằm tăng cường liên kết giữa UID 0 và hạt nhân”, mô tả ban đầu cho biết. “Khi được kích hoạt, các phần khác nhau của hạt nhân bị hạn chế. Các ứng dụng dựa vào quyền truy cập cấp thấp vào phần cứng hoặc hạt nhân sau đó sẽ ngừng hoạt động. Đây là lý do tại sao nó không nên được kích hoạt mà không có đánh giá trước thích hợp, ”những người ủng hộ nó cảnh báo.

Lockdown sẽ được cung cấp dưới dạng một mô-đun bảo mật LSM trong nhánh 5.4 của hạt nhân, mô-đun này sẽ được phân phối trong thời gian ngắn và do đó sẽ cho phép khóa sau này sớm hơn trong quá trình khởi động. Tính năng này sẽ bị tắt theo mặc định vì nó có thể làm hỏng các hệ thống hiện có. Khi được kích hoạt, nó sẽ hạn chế việc khai thác hạt nhân, bao gồm cả người dùng tài khoản root, khiến việc truy cập vào phần còn lại của HĐH trở nên khó khăn hơn đối với các tài khoản root bị xâm phạm.

Linus Torvalds giải thích rằng điều này hạn chế quyền truy cập vào các chức năng của hạt nhân có thể cho phép thực thi mã tùy ý thông qua mã được đóng góp bởi các quá trình nằm bên ngoài hạt nhân (các quy trình vùng người dùng). Như được liệt kê trên git.kernel.org, điều này đáng chú ý là chặn các quá trình ghi hoặc đọc / dev / mem và / dev / kmem bộ nhớ cũng như quyền truy cập vào mở / dev / port và củng cố chữ ký của mô-đun hạt nhân.