آندری کونوالوف از گوگل
Lockdown دسترسی کاربر ریشه به هسته را محدود میکند و مسیرهای دور زدن راهاندازی امن UEFI را مسدود میکند. به عنوان مثال، در حالت قفل، دسترسی به /dev/mem، /dev/kmem، /dev/port، /proc/kcore، اشکال زدایی، حالت اشکال زدایی kprobes، mmiotrace، tracefs، BPF، PCMCIA CIS (ساختار اطلاعات کارت)، برخی اینترفیسها محدود است رجیسترهای ACPI و MSR CPU، تماسها به kexec_file و kexec_load مسدود هستند، حالت خواب ممنوع است، استفاده از DMA برای دستگاههای PCI محدود است، وارد کردن کد ACPI از متغیرهای EFI ممنوع است، دستکاری با پورتهای I/O ممنوع است. مجاز است، از جمله تغییر شماره وقفه و پورت I/O برای پورت سریال.
مکانیسم Lockdown اخیراً به هسته اصلی لینوکس اضافه شده است
در اوبونتو و فدورا، کلید ترکیبی Alt+SysRq+X برای غیرفعال کردن Lockdown ارائه شده است. قابل درک است که ترکیب Alt+SysRq+X فقط با دسترسی فیزیکی به دستگاه قابل استفاده است و در صورت هک از راه دور و دستیابی به دسترسی روت، مهاجم قادر نخواهد بود Lockdown را غیرفعال کند و به عنوان مثال، یک را بارگذاری کند. ماژول با روت کیت که به صورت دیجیتالی در هسته ثبت نشده است.
آندری کونوالوف نشان داد که روش های مبتنی بر صفحه کلید برای تأیید حضور فیزیکی کاربر بی اثر هستند. ساده ترین راه برای غیرفعال کردن Lockdown، برنامه نویسی است
روش اول شامل استفاده از رابط "sysrq-trigger" است - برای شبیه سازی آن، فقط این رابط را با نوشتن "1" در /proc/sys/kernel/sysrq فعال کنید، و سپس "x" را در /proc/sysrq-trigger بنویسید. گفت خلاء
روش دوم شامل شبیه سازی صفحه کلید از طریق
منبع: opennet.ru