¿Cuál es el propósito de cosas como modules_disabled
y kexec_load_disabled
sysctls y el bloqueo de /dev/mem
y /dev/kmem
? La idea detrás de ellos parece ser evitar que la raíz tome el control del núcleo, pero no estoy seguro de por qué esto es útil. Si un atacante obtiene root, ¿no es cierto que posee la máquina incluso sin acceso al kernel, haciendo cosas como modificar binarios?
Entiendo que, en combinación con el arranque seguro, esto puede mantener el kernel en un buen estado garantizado, pero nuevamente, si todo el espacio del usuario está comprometido, ¿por qué es útil?