Pokud útočník získá root, nevlastní počítač do značné míry i bez přístupu k jádru tím, že dělá věci, jako je úprava binárních souborů?
Možná možná ne. Pomocí SELinux můžete omezit přístup k blokovaným zařízením, a to i pro uživatele root. Pokud je tedy váš kořenový oddíl pouze pro čtení (a systém běží s OverlayFS, aby byly zajištěny trvalé úpravy), pak ochrana jádra před rootem může zaručit konzistentní stav při restartu, i když byl počítač kompromitován na kořenová úroveň.
Zatímco pokud jádro není chráněno před uživatelem root, nemůžete mít takové záruky.
Bez ověřeného bootování spolu s ověřenými moduly a kexec dáte jádru větší šanci bránit se útoku tváří v tvář eskalaci privilegií. Ve výchozím nastavení jsou tyto dvě funkce zakázány:
kexec_load_disabled:
Přepínač označující, zda bylo deaktivováno systémové volání kexec_load. Výchozí hodnota této hodnoty je 0 (false:kexec_load povoleno), ale lze ji nastavit na 1 (pravda:kexec_load zakázáno). Jakmile je hodnota true, kexec již nelze používat a přepínač nelze nastavit zpět na hodnotu false. To umožňuje načíst obraz kexec před deaktivací syscall, což umožňuje systému nastavit (a později použít) obraz, aniž by byl změněn. Obecně se používá společně se sysctl "modules_disabled".
modules_disabled:
Přepínací hodnota označující, zda je povoleno načítání modulů do jinak modulárního jádra. Výchozí nastavení tohoto přepínače je vypnuto (0), ale lze jej nastavit na hodnotu true (1). Jakmile je hodnota true, moduly nelze načíst ani uvolnit a přepínač nelze nastavit zpět na hodnotu false. Obecně se používá s přepínačem "kexec_load_disabled".