Andrey Konovalov gan Google ffordd i analluogi amddiffyniad o bell a gynigir yn y pecyn cnewyllyn Linux a gludir gyda Ubuntu (technegau a awgrymir yn ddamcaniaethol gweithio gyda chnewyllyn Fedora a dosbarthiadau eraill, ond nid ydynt yn cael eu profi).
Mae cloi i lawr yn cyfyngu ar fynediad defnyddwyr gwraidd i'r cnewyllyn ac yn rhwystro llwybrau osgoi UEFI Secure Boot. Er enghraifft, yn y modd cloi, mynediad i /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modd dadfygio kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Strwythur Gwybodaeth Cerdyn), rhai mae rhyngwynebau'n gyfyngedig Cofrestrau ACPI a MSR y CPU, mae galwadau i kexec_file a kexec_load yn cael eu rhwystro, gwaherddir modd cysgu, mae defnydd DMA ar gyfer dyfeisiau PCI yn gyfyngedig, gwaherddir mewnforio cod ACPI o newidynnau EFI, nid yw triniaethau â phorthladdoedd I/O yn gyfyngedig. a ganiateir, gan gynnwys newid y rhif ymyrraeth a phorthladd I/O ar gyfer porthladd cyfresol.
Ychwanegwyd y mecanwaith Lockdown yn ddiweddar at y prif gnewyllyn Linux , ond yn y cnewyllyn a gyflenwir mewn dosbarthiadau mae'n dal i gael ei weithredu ar ffurf clytiau neu wedi'i ategu â chlytiau. Un o'r gwahaniaethau rhwng yr ychwanegion a ddarperir mewn citiau dosbarthu a'r gweithrediad sydd wedi'i ymgorffori yn y cnewyllyn yw'r gallu i analluogi'r cloi a ddarperir os oes gennych fynediad corfforol i'r system.
Yn Ubuntu a Fedora, darperir y cyfuniad allweddol Alt + SysRq + X i analluogi Lockdown. Deellir mai dim ond gyda mynediad corfforol i'r ddyfais y gellir defnyddio'r cyfuniad Alt + SysRq + X, ac yn achos hacio o bell a chael mynediad gwraidd, ni fydd yr ymosodwr yn gallu analluogi Lockdown ac, er enghraifft, llwytho a modiwl gyda rootkit nad yw wedi'i lofnodi'n ddigidol i'r cnewyllyn.
Dangosodd Andrey Konovalov fod dulliau sy'n seiliedig ar fysellfyrddau ar gyfer cadarnhau presenoldeb corfforol y defnyddiwr yn aneffeithiol. Y ffordd symlaf o analluogi Lockdown fyddai trwy raglennu pwyso Alt+SysRq+X trwy /dev/uinput, ond mae'r opsiwn hwn wedi'i rwystro i ddechrau. Ar yr un pryd, roedd yn bosibl nodi o leiaf ddau ddull arall o amnewid Alt+SysRq+X.
Mae'r dull cyntaf yn cynnwys defnyddio'r rhyngwyneb “sysrq-trigger” - i'w efelychu, galluogwch y rhyngwyneb hwn trwy ysgrifennu “1” i /proc/sys/kernel/sysrq, ac yna ysgrifennwch “x” i /proc/sysrq-trigger. Dywedodd bwlch yn y diweddariad cnewyllyn Ubuntu Rhagfyr ac yn Fedora 31. Mae'n werth nodi bod y datblygwyr, fel yn achos /dev/input, i ddechrau blocio'r dull hwn, ond ni weithiodd blocio oherwydd mewn cod.
Mae'r ail ddull yn cynnwys efelychu bysellfwrdd trwy ac yna anfon y dilyniant Alt+SysRq+X o'r bysellfwrdd rhithwir. Mae'r cnewyllyn USB/IP a gludir gyda Ubuntu wedi'i alluogi yn ddiofyn (CONFIG_USBIP_VHCI_HCD=m a CONFIG_USBIP_CORE=m) ac mae'n darparu'r modiwlau usbip_core a vhci_hcd wedi'u llofnodi'n ddigidol sydd eu hangen ar gyfer gweithredu. Gall yr ymosodwr dyfais USB rhithwir, triniwr rhwydwaith ar y rhyngwyneb loopback a'i gysylltu fel dyfais USB o bell gan ddefnyddio USB/IP. Am y dull penodedig i ddatblygwyr Ubuntu, ond nid yw atgyweiriad wedi'i ryddhau eto.
Ffynhonnell: opennet.ru