Andrej Konovalov di Google
Il blocco limita l'accesso dell'utente root al kernel e blocca i percorsi di bypass dell'avvio protetto UEFI. Ad esempio, in modalità di blocco, l'accesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modalità di debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alcuni interfacce limitate Registri ACPI e MSR della CPU, chiamate a kexec_file e kexec_load bloccate, modalità sospensione vietata, utilizzo DMA per dispositivi PCI limitato, importazione di codice ACPI da variabili EFI vietata, manipolazioni con porte I/O non consentite consentiti, inclusa la modifica del numero di interrupt e della porta I/O per la porta seriale.
Il meccanismo di Lockdown è stato recentemente aggiunto al kernel principale di Linux
In Ubuntu e Fedora, viene fornita la combinazione di tasti Alt+SysRq+X per disabilitare il blocco. Resta inteso che la combinazione Alt+SysRq+X può essere utilizzata solo con accesso fisico al dispositivo e, in caso di hacking remoto e ottenimento dell'accesso root, l'aggressore non sarà in grado di disattivare il Lockdown e, ad esempio, caricare un file modulo con un rootkit senza firma digitale nel kernel.
Andrey Konovalov ha dimostrato che i metodi basati sulla tastiera per confermare la presenza fisica dell'utente sono inefficaci. Il modo più semplice per disabilitare il blocco sarebbe quello a livello di codice
Il primo metodo prevede l'utilizzo dell'interfaccia "sysrq-trigger": per simularla, basta abilitare questa interfaccia scrivendo "1" in /proc/sys/kernel/sysrq, quindi scrivere "x" in /proc/sysrq-trigger. Detta scappatoia
Il secondo metodo prevede l'emulazione della tastiera tramite
Fonte: opennet.ru