Андрэй Канавалаў з кампаніі Google
Lockdown абмяжоўвае доступ карыстача root да ядра і блакуе шляхі абыходу UEFI Secure Boot. Напрыклад, у рэжыме lockdown абмяжоўваецца доступ да /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, адладкавага рэжыму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), некаторым інтэрфейсам ACPI і MSR-рэгістрам CPU, блакуюцца выклікі kexec_file і kexec_load, забараняецца пераход у спячы рэжым, лімітуецца выкарыстанне DMA для PCI-прылад, забараняецца імпарт кода ACPI са зменных EFI, не дапушчаюцца маніпуляцыі з партамі ўводу/высновы, у тым ліку змена нумара перапынення і порта ўводу/высновы для паслядоўнага порта.
Механізм Lockdown нядаўна быў дададзены ў асноўны склад ядра Linux
У Ubuntu і Fedora для адключэння Lockdown прадугледжана камбінацыя клавіш Alt+SysRq+X. Мяркуецца, што камбінацыю Alt+SysRq+X можна выкарыстоўваць толькі пры фізічным доступе да прылады, а ў выпадку выдаленага ўзлому і атрыманні root-доступу атакавалы не зможа адключыць Lockdown і, напрыклад, загрузіць у ядро незавераны лічбавым подпісам модуль з rootkit-ом.
Андрэй Канавалаў паказаў, што звязаныя з выкарыстаннем клавіятуры метады пацвярджэння фізічнай прысутнасці карыстальніка неэфектыўныя. Найпростым спосабам адключэння Lockdown была б праграмная
Першы спосаб звязаны з выкарыстаннем інтэрфейсу "sysrq-trigger" - для сімуляцыі дастаткова ўключыць гэты інтэрфейс, запісаўшы "1" у /proc/sys/kernel/sysrq, а затым запісаць "x" у /proc/sysrq-trigger. Указаная шчыліна
Другі спосаб звязаны з эмуляцыяй клавіятуры праз
Крыніца: opennet.ru