问根用户是否有对内核代码的读写访问权？

EN

是的，通常根用户有足够的权限间接修改内核代码，尽管有一些机制可以用来限制这一点，前提是考虑到了足够的安全措施。特权根用户可以修改内核代码的方法的非详尽列表：

• ioperm()和iopl()系统可以设置I/O端口权限。
• 当然，可以修改引导目录(包括内核)中的文件。
• /dev/mem、/dev/kmem和/dev/port字符设备允许直接访问内存。
• 各种MSRs可以用来改变低级别的CPU行为，破坏安全性.
• 可以使用kexec功能引导到新内核。
• ACPI表可以在运行时由root加载，在内核中执行AML。
• custom_method可以被滥用来直接写入内存。
• 如果禁用了模块签名，则可以通过root加载内核模块。
• 调试特性(如k探针)可以修改内核行为。

缓解可以通过使用经过适当配置的内核(如正确配置的格莱西 )或使用内核锁定修补程序( 现在在上游 )来完成。当然，防止根用户写入内核所在的引导加载程序或引导分区仍然是必要的。