Անդրեյ Կոնովալով Google-ից
Lockdown-ը սահմանափակում է արմատային օգտվողի մուտքը միջուկ և արգելափակում է UEFI Secure Boot-ի շրջանցման ուղիները: Օրինակ՝ արգելափակման ռեժիմում մուտք գործել դեպի /dev/mem, /dev/kmem, /dev/port, /proc/kcore, վրիպազերծումներ, kprobes կարգաբերման ռեժիմ, mmiotrace, tracefs, BPF, PCMCIA CIS (Քարտի տեղեկատվական կառուցվածք), որոշ միջերեսները սահմանափակ են CPU-ի ACPI և MSR ռեգիստրները, դեպի kexec_file և kexec_load զանգերն արգելափակված են, քնի ռեժիմն արգելված է, DMA-ի օգտագործումը PCI սարքերի համար սահմանափակ է, ACPI կոդի ներմուծումը EFI փոփոխականներից արգելված է, I/O պորտերով մանիպուլյացիաները արգելված են: թույլատրվում է, ներառյալ՝ փոխելով ընդհատման համարը և մուտքի/ելք պորտը սերիական պորտի համար:
Lockdown մեխանիզմը վերջերս ավելացվել է հիմնական Linux միջուկին
Ubuntu-ում և Fedora-ում Alt+SysRq+X ստեղների համակցությունը տրամադրվում է Lockdown-ն անջատելու համար: Հասկանալի է, որ Alt+SysRq+X համակցությունը կարող է օգտագործվել միայն սարքի ֆիզիկական մուտքի դեպքում, իսկ հեռակա հաքերային հարձակման և արմատային հասանելիություն ձեռք բերելու դեպքում հարձակվողը չի կարողանա անջատել Lockdown-ը և, օրինակ, բեռնել մոդուլ՝ rootkit-ով, որը թվային ստորագրված չէ միջուկում:
Անդրեյ Կոնովալովը ցույց է տվել, որ օգտագործողի ֆիզիկական ներկայությունը հաստատելու ստեղնաշարի վրա հիմնված մեթոդներն անարդյունավետ են։ Lockdown-ն անջատելու ամենապարզ միջոցը կլինի ծրագրավորել
Առաջին մեթոդը ներառում է «sysrq-trigger» ինտերֆեյսի օգտագործումը. այն մոդելավորելու համար պարզապես միացրեք այս ինտերֆեյսը` գրելով «1» /proc/sys/kernel/sysrq-ում, այնուհետև գրեք «x» /proc/sysrq-trigger-ում: Ասաց սողանցք
Երկրորդ մեթոդը ներառում է ստեղնաշարի էմուլյացիա միջոցով
Source: opennet.ru