След всички проблеми със сигурността около процесорните уязвимости, Торвалдс реши да добави функция за заключване („Lockdown“) на ядрото.
След дълго обмисляне Линус Торвалдс прецени, че е време да имплементира повишена сигурност в Linux ядрото при следващата версия 5.4 чрез така наречения „Lockdown“ или заключване. Функцията ще бъде по избор и ще се предлага като отделен модул. Тя ще промени коренно начина, по който потребителското пространство комуникира с Linux ядрото.
Принципът за заключването е предложен още през 2010-а година от инженера от Google Матю Гарет и позволява заключването на ядрото в ранен стадий, още по време на процеса по стартиране на машината (boot).
Когато бъде имплементирано заключването на ядрото, то ще бъде спряно по подразбиране, а когато при желание бъде включено, то ще забранява достъпа до ядрото дори и на root потребителите, които няма да могат да внасят никакви промени по кода на ядрото, а също така и ще бъде спрян достъпът до някои функции.
Някои от ограниченията, наложени от Lockdown функцията са блокиране на операциите по писане при /dev/mem, невъзможност за поставяне на машината в режим на хиберниране, блокиране на CPU MSR достъпа и пр. Подобен подход ще осигури ограничаване на достъпа на компрометирани root акаунти и ще повиши неимоверно сигурността на Linux като цяло.
Ще са налични два параметъра, които ще активират две нива на ограничение:
- lockdown= integrity ще ограничава функциите на ядрото, които позволяват на потребителите да модифицират стартираните ядра.
- lockdown= confidentiality ще ограничава възможността на потребителите да извличат поверителна информация от ядрото.
За коректното имплементиране на функцията по заключването Торвалдс, който в началото беше неин противник, е организирал множество ревюта и дискусии по въпроса, а също така са налични и много преправяния на кода на Linux ядрото, за да се подсигури фактът, че тя няма да засегне нормалната му работа и ще работи точно по начина, по който се предвижда.