Andrey Konovalov a Google-tól
A zárolás korlátozza a root felhasználók hozzáférését a kernelhez, és blokkolja az UEFI Secure Boot bypass útvonalait. Például zárolási módban a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes hibakeresési mód, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), néhány Az interfészek korlátozottak A CPU ACPI és MSR regiszterei, a kexec_file és a kexec_load hívásai le vannak tiltva, az alvó üzemmód tiltott, a DMA használata PCI eszközökhöz korlátozott, az ACPI kód importálása az EFI változókból tilos, az I/O portokkal nem lehet manipulálni megengedett, beleértve a soros port megszakítási számának és I/O portjának megváltoztatását.
A Lockdown mechanizmust nemrégiben adták hozzá a fő Linux kernelhez
Az Ubuntuban és a Fedorában az Alt+SysRq+X billentyűkombináció a zárolás letiltására szolgál. Nyilvánvaló, hogy az Alt+SysRq+X kombináció csak akkor használható, ha fizikailag hozzáférünk az eszközhöz, és távoli hackelés és root hozzáférés megszerzése esetén a támadó nem tudja letiltani a zárolást, és például betölteni egy modul egy olyan rootkittel, amely nincs digitálisan aláírva a kernelbe.
Andrey Konovalov kimutatta, hogy a billentyűzet alapú módszerek a felhasználó fizikai jelenlétének megerősítésére nem hatékonyak. A Lockdown letiltásának legegyszerűbb módja a programozás
Az első módszer a „sysrq-trigger” interfész használatát foglalja magában – szimulálásához csak engedélyezze ezt az interfészt úgy, hogy „1”-et ír a /proc/sys/kernel/sysrq-ba, majd írja be az „x”-et a /proc/sysrq-triggerbe. Mondott kiskapu
A második módszer a billentyűzet emulációját foglalja magában
Forrás: opennet.ru