វិធីសាស្រ្តបិទការការពារ Lockdown នៅក្នុង Ubuntu ដើម្បីជៀសពីចម្ងាយ UEFI Secure Boot

Andrey Konovalov ពី Google បោះពុម្ភ វិធីបិទការការពារពីចម្ងាយ ចាក់សោផ្តល់ជូននៅក្នុងកញ្ចប់ខឺណែលលីនុចដែលដឹកជញ្ជូនជាមួយអ៊ូប៊ុនទូ (បច្ចេកទេសដែលបានស្នើតាមទ្រឹស្តី គួរតែ ធ្វើការជាមួយខឺណែលរបស់ Fedora និងការចែកចាយផ្សេងទៀត ប៉ុន្តែពួកគេមិនត្រូវបានសាកល្បងទេ) ។

ការចាក់សោរដាក់កម្រិតការចូលប្រើរបស់អ្នកប្រើជា root ទៅកាន់ខឺណែល និងរារាំងផ្លូវឆ្លងកាត់ UEFI Secure Boot ។ ឧទាហរណ៍ នៅក្នុងរបៀបចាក់សោ ការចូលប្រើ /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugging mode, mmiotrace, tracefs, BPF, PCMCIA CIS (រចនាសម្ព័ន្ធព័ត៌មានកាត) មួយចំនួន ចំណុចប្រទាក់ត្រូវបានកំណត់ ACPI និងការចុះឈ្មោះ MSR នៃស៊ីភីយូ ការហៅទៅកាន់ kexec_file និង kexec_load ត្រូវបានរារាំង របៀបគេងត្រូវបានហាមឃាត់ ការប្រើប្រាស់ DMA សម្រាប់ឧបករណ៍ PCI ត្រូវបានកំណត់ ការនាំចូលកូដ ACPI ពីអថេរ EFI ត្រូវបានហាមឃាត់ ការរៀបចំជាមួយច្រក I/O មិនត្រូវបានហាមឃាត់ទេ។ ត្រូវបានអនុញ្ញាត រួមទាំងការផ្លាស់ប្តូរលេខរំខាន និងច្រក I/O សម្រាប់ច្រកសៀរៀល។

យន្តការចាក់សោរត្រូវបានបន្ថែមទៅខឺណែលលីនុចសំខាន់ៗនាពេលថ្មីៗនេះ 5.4ប៉ុន្តែនៅក្នុងខឺណែលដែលបានផ្គត់ផ្គង់ក្នុងការចែកចាយ វានៅតែត្រូវបានអនុវត្តជាទម្រង់បំណះ ឬបំពេញបន្ថែមដោយបំណះ។ ភាពខុសគ្នាមួយក្នុងចំណោមភាពខុសគ្នារវាងកម្មវិធីបន្ថែមដែលបានផ្តល់នៅក្នុងឧបករណ៍ចែកចាយ និងការអនុវត្តដែលបានបង្កើតឡើងនៅក្នុងខឺណែលគឺសមត្ថភាពក្នុងការបិទការចាក់សោដែលបានផ្តល់ ប្រសិនបើអ្នកមានសិទ្ធិចូលប្រើប្រព័ន្ធ។

នៅក្នុង Ubuntu និង Fedora បន្សំគ្រាប់ចុច Alt + SysRq + X ត្រូវបានផ្តល់ជូនដើម្បីបិទការចាក់សោ។ វាត្រូវបានគេយល់ថាការរួមបញ្ចូលគ្នា Alt+SysRq+X អាចប្រើបានតែជាមួយការចូលប្រើរូបវន្តទៅកាន់ឧបករណ៍ប៉ុណ្ណោះ ហើយក្នុងករណីនៃការលួចចូលពីចម្ងាយ និងការទទួលបានសិទ្ធិជា root អ្នកវាយប្រហារនឹងមិនអាចបិទការចាក់សោរបានទេ ហើយឧទាហរណ៍ ផ្ទុក ម៉ូឌុលជាមួយ rootkit ដែលមិនត្រូវបានចុះហត្ថលេខាជាឌីជីថលទៅក្នុងខឺណែល។

Andrey Konovalov បានបង្ហាញថាវិធីសាស្ត្រដែលមានមូលដ្ឋានលើក្តារចុចសម្រាប់បញ្ជាក់ពីវត្តមានរាងកាយរបស់អ្នកប្រើប្រាស់គឺមិនមានប្រសិទ្ធភាពទេ។ វិធីសាមញ្ញបំផុតដើម្បីបិទការចាក់សោរគឺការសរសេរកម្មវិធី ការក្លែងធ្វើ ចុច Alt+SysRq+X តាមរយៈ /dev/uinput ប៉ុន្តែជម្រើសនេះត្រូវបានរារាំងដំបូង។ ក្នុងពេលជាមួយគ្នានេះ គេអាចកំណត់អត្តសញ្ញាណយ៉ាងហោចណាស់វិធីសាស្ត្រពីរបន្ថែមទៀតនៃការជំនួស Alt+SysRq+X ។

វិធីសាស្រ្តដំបូងពាក់ព័ន្ធនឹងការប្រើប្រាស់ចំណុចប្រទាក់ "sysrq-trigger" - ដើម្បីក្លែងធ្វើវាគ្រាន់តែបើកចំណុចប្រទាក់នេះដោយសរសេរ "1" ទៅ /proc/sys/kernel/sysrq ហើយបន្ទាប់មកសរសេរ "x" ទៅ /proc/sysrq-trigger ។ បាននិយាយថាចន្លោះប្រហោង លុបចោល នៅក្នុងការអាប់ដេតខឺណែល Ubuntu ខែធ្នូ និងនៅក្នុង Fedora 31។ វាគួរឱ្យកត់សម្គាល់ថាអ្នកអភិវឌ្ឍន៍ដូចជាក្នុងករណី /dev/uinput ដំបូង ព្យាយាម ទប់ស្កាត់វិធីសាស្រ្តនេះ ប៉ុន្តែការទប់ស្កាត់មិនដំណើរការដោយសារ កំហុស នៅក្នុងកូដ។

វិធីសាស្រ្តទីពីរពាក់ព័ន្ធនឹងការត្រាប់តាមក្តារចុចតាមរយៈ USB/IP ហើយបន្ទាប់មកផ្ញើលំដាប់ Alt + SysRq + X ពីក្តារចុចនិម្មិត។ ខឺណែល USB/IP ដែលដឹកជញ្ជូនជាមួយអ៊ូប៊ុនទូត្រូវបានបើកតាមលំនាំដើម (CONFIG_USBIP_VHCI_HCD=m និង CONFIG_USBIP_CORE=m) និងផ្តល់នូវម៉ូឌុល usbip_core និង vhci_hcd ដែលបានចុះហត្ថលេខាជាឌីជីថលដែលត្រូវការសម្រាប់ប្រតិបត្តិការ។ អ្នកវាយប្រហារអាច ដើម្បីបង្កើត ឧបករណ៍ USB និម្មិត, កំពុងរត់ ឧបករណ៍ដោះស្រាយបណ្តាញនៅលើចំណុចប្រទាក់រង្វិលជុំហើយភ្ជាប់វាជាឧបករណ៍ USB ពីចម្ងាយដោយប្រើ USB/IP ។ អំពីវិធីសាស្រ្តដែលបានបញ្ជាក់ រាយការណ៍ ទៅកាន់អ្នកអភិវឌ្ឍន៍ Ubuntu ប៉ុន្តែការជួសជុលមិនទាន់ត្រូវបានចេញផ្សាយនៅឡើយ។

ប្រភព: opennet.ru