Andrey Konovalov van Google
Lockdown beperk worteltoegang tot die kern en blokkeer UEFI Secure Boot-omleidingspaaie. Byvoorbeeld, afsluitmodus beperk toegang tot /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, debug mode kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sommige koppelvlakke CPU ACPI- en MSR-registers, blokkeer kexec_file- en kexec_load-oproepe, verbied slaapmodus, beperk die gebruik van DMA vir PCI-toestelle, verbied die invoer van ACPI-kode vanaf EFI-veranderlikes, laat nie manipulasies met I/O-poorte toe nie, insluitend die verandering van die onderbrekingsnommer en 'n I/O-poort vir die seriële poort.
Die Lockdown-meganisme is onlangs by die kern van die Linux-kern gevoeg.
In Ubuntu en Fedora word die sleutelkombinasie Alt+SysRq+X verskaf om Lockdown te deaktiveer. Dit word verstaan dat die Alt+SysRq+X-kombinasie slegs met fisieke toegang tot die toestel gebruik kan word, en in die geval van afgeleë inbraak en die verkryging van worteltoegang, sal die aanvaller nie Lockdown kan deaktiveer nie en, byvoorbeeld, 'n ongetekende module met 'n rootkit in die kern.
Andrey Konovalov het gewys dat sleutelbordgebaseerde metodes om die gebruiker se fisiese teenwoordigheid te bevestig ondoeltreffend is. Die maklikste manier om Lockdown te deaktiveer, is programmaties
Die eerste metode behels die gebruik van die "sysrq-trigger"-koppelvlak - vir simulasie is dit genoeg om hierdie koppelvlak te aktiveer deur "1" te skryf na /proc/sys/kernel/sysrq, en dan "x" te skryf na /proc/sysrq- sneller. Gespesifiseerde skuiwergat
Die tweede metode hou verband met sleutelbordemulasie deur
Bron: opennet.ru