Андреј Коновалов од Гугл
Заклучувањето го ограничува пристапот на root корисникот до кернелот и ги блокира патеките за бајпас на UEFI Secure Boot. На пример, во режим на заклучување, пристап до /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugging mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Структура на информации за картички), некои интерфејсите се ограничени ACPI и MSR регистрите на процесорот, повиците до kexec_file и kexec_load се блокирани, режимот на мирување е забранет, употребата на DMA за PCI уреди е ограничена, увозот на ACPI код од променливите EFI е забранет, манипулациите со I/O портите не се дозволено, вклучително и менување на бројот на прекин и I/O порт за сериска порта.
Механизмот за заклучување неодамна беше додаден во главниот кернел на Линукс
Во Ubuntu и Fedora, комбинацијата на копчиња Alt+SysRq+X е обезбедена за да се оневозможи Заклучување. Разбирливо е дека комбинацијата Alt+SysRq+X може да се користи само со физички пристап до уредот, а во случај на далечинско хакирање и добивање root пристап, напаѓачот нема да може да го оневозможи Lockdown и, на пример, да вчита модул со rootkit кој не е дигитално потпишан во кернелот.
Андреј Коновалов покажа дека методите базирани на тастатура за потврдување на физичкото присуство на корисникот се неефикасни. Наједноставниот начин да се оневозможи Заклучувањето би бил програмски
Првиот метод вклучува користење на интерфејсот „sysrq-trigger“ - за да го симулирате, само овозможете го овој интерфејс со пишување „1“ на /proc/sys/kernel/sysrq, а потоа напишете „x“ во /proc/sysrq-trigger. Рече дупка
Вториот метод вклучува емулација на тастатура преку
Извор: opennet.ru