BR-Linux.org

“Patches recentes, assinados por Matthew Garrett (o mesmo cidadão das discussões do SecureBoot no Linux) definem uma estrutura de securelevel, similar a adotada pelos sistemas BSD para restringir acessos da userspace ao Kernel nos sistemas operacionais baseados em Linux. Ao contrário do OpenBSD por exemplo, onde o nível de segurança é alterado através da variável de kernel kern.securelevel, esta será manipulada no Linux através do arquivo /sys/kernel/security/securelevel .

Três foram os níveis discriminados no patch: Nível -1 é modo inseguro permanente e não poderá ser mudado e terá as mesmas restrições do nível 0. Nível 0 é o modo inseguro padrão, que também não adicionará qualquer restrição mas pode ser alterado para o próximo nível. O nível 1 é o modo seguro, e forçará com que userspace não consiga acesso direto a dispositivos PCI, limitará acesso a portas E/S, acesso a memória através dos dispositivos /dev/mem e /dev/kmem, chamadas a função kexec_load(), utilização do mecanismo de suspensão na userspace e modificação de MSRs em CPUs do tipo x86. Alguns drivers poderão impor limitações adicionais as suas interfaces.

Os securelevels foram removidos na versão 2.1.102 do Linux em prol das capabilities. Resta saber porque voltaram.” [referência: marc.info]