Andrey Konovalov de Google
O bloqueo restrinxe o acceso do usuario root ao núcleo e bloquea as rutas de omisión de arranque seguro de UEFI. Por exemplo, no modo de bloqueo, o acceso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modo de depuración de kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Estrutura de información da tarxeta), algúns interfaces limitadas. Os rexistros ACPI e MSR da CPU, as chamadas a kexec_file e kexec_load están bloqueadas, o modo de suspensión está prohibido, o uso de DMA para dispositivos PCI está limitado, a importación de código ACPI desde variables EFI está prohibida, as manipulacións con portos de E/S non están limitadas. permitido, incluíndo o cambio do número de interrupción e do porto de E/S para o porto serie.
O mecanismo de bloqueo engadiuse recentemente ao núcleo principal de Linux
En Ubuntu e Fedora, ofrécese a combinación de teclas Alt+SysRq+X para desactivar o bloqueo. Enténdese que a combinación Alt+SysRq+X só se pode usar con acceso físico ao dispositivo e, no caso de pirateo remoto e obter acceso root, o atacante non poderá desactivar o bloqueo e, por exemplo, cargar un módulo cun rootkit que non estea rexistrado dixitalmente no núcleo.
Andrey Konovalov demostrou que os métodos baseados no teclado para confirmar a presenza física do usuario son ineficaces. A forma máis sinxela de desactivar o bloqueo sería mediante programación
O primeiro método consiste en usar a interface "sysrq-trigger": para simulala, só tes que habilitar esta interface escribindo "1" en /proc/sys/kernel/sysrq e despois escribe "x" en /proc/sysrq-trigger. Dixo oco
O segundo método implica a emulación do teclado vía
Fonte: opennet.ru