Google မှ Andrey Konovalov အဝေးမှ အကာအကွယ် ပိတ်ထားရန် နည်းလမ်း Ubuntu နှင့် တင်ပို့သည့် Linux kernel ပက်ကေ့ဂျ်တွင် ကမ်းလှမ်းထားသည် (သီအိုရီအရ အကြံပြုထားသော နည်းပညာများ Fedora ၏ kernel နှင့် အခြားသော ဖြန့်ချီမှုများနှင့် အလုပ်လုပ်သော်လည်း ၎င်းတို့ကို စမ်းသပ်မထားပါ။)
Lockdown သည် kernel သို့ root အသုံးပြုသူဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားပြီး UEFI Secure Boot bypass လမ်းကြောင်းများကို ပိတ်ဆို့ထားသည်။ ဥပမာအားဖြင့်၊ လော့ခ်ဒေါင်းမုဒ်တွင်၊ /dev/mem၊ /dev/kmem၊ /dev/port၊ /proc/kcore၊ debugfs၊ kprobes debugging mode၊ mmiotrace၊ tracefs၊ BPF၊ PCMCIA CIS (Card Information Structure) အချို့၊ အင်တာဖေ့စ်များကို ကန့်သတ်ထားပြီး CPU ၏ ACPI နှင့် MSR မှတ်ပုံတင်မှုများ၊ kexec_file နှင့် kexec_load သို့ ခေါ်ဆိုမှုများကို ပိတ်ဆို့ထားသည်၊ အိပ်စက်ခြင်းမုဒ်ကို တားမြစ်ထားသည်၊ PCI စက်ပစ္စည်းများအတွက် DMA အသုံးပြုမှုကို ကန့်သတ်ထားသည်၊ EFI variables များမှ ACPI ကုဒ်ကို တင်သွင်းခြင်းကို တားမြစ်ထားသည်၊ I/O ports များဖြင့် ခြယ်လှယ်ခြင်းများ ပြုလုပ်မည်မဟုတ်ပါ။ ကြားဖြတ်နံပါတ်နှင့် နံပါတ်စဉ်ပို့တ်အတွက် I/O ပို့တ်ကို ပြောင်းလဲခြင်းအပါအဝင် ခွင့်ပြုထားသည်။
Lockdown ယန္တရားကို ပင်မ Linux kernel တွင် မကြာသေးမီက ထည့်သွင်းခဲ့သည်။ သို့သော် ဖြန့်ဖြူးမှုတွင် ပံ့ပိုးပေးသော ကာနယ်များတွင် ၎င်းကို ဖာထေးမှုပုံစံ သို့မဟုတ် ဖာထေးမှုများဖြင့် ဖြည့်စွက်ထားသည်။ ဖြန့်ချီရေးကိရိယာများတွင် ပံ့ပိုးပေးထားသည့် အပိုပရိုဂရမ်များနှင့် ကာနယ်တွင် တည်ဆောက်ထားသည့် အကောင်အထည်ဖော်မှုအကြား ကွာခြားချက်တစ်ခုမှာ စနစ်သို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့်ရှိပါက ပေးထားသည့် လော့ခ်ချခြင်းကို ပိတ်နိုင်သည့် စွမ်းရည်ဖြစ်သည်။
Ubuntu နှင့် Fedora တွင် သော့တွဲ Alt+SysRq+X ကို Lockdown ပိတ်ရန် ပံ့ပိုးပေးထားသည်။ Alt+SysRq+X ပေါင်းစပ်မှုကို စက်သို့ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့်ဖြင့်သာအသုံးပြုနိုင်ကြောင်း နားလည်ရပြီး အဝေးထိန်းဟက်ကာနှင့် root access ရရှိခြင်းကိစ္စတွင်၊ တိုက်ခိုက်သူသည် Lockdown ကိုပိတ်နိုင်မည်မဟုတ်သည့်အပြင် ဥပမာအားဖြင့်၊ တစ်ခုအား load လုပ်နိုင်သည်။ kernel သို့ ဒစ်ဂျစ်တယ်နည်းဖြင့် လက်မှတ်ထိုးမထားသော rootkit ပါသော မော်ဂျူး။
Andrey Konovalov သည် အသုံးပြုသူ၏ ရုပ်ပိုင်းဆိုင်ရာတည်ရှိမှုကို အတည်ပြုရန်အတွက် ကီးဘုတ်အခြေခံနည်းလမ်းများသည် ထိရောက်မှုမရှိကြောင်း ပြသခဲ့သည်။ Lockdown ကိုပိတ်ရန် အရိုးရှင်းဆုံးနည်းလမ်းမှာ ပရိုဂရမ်မာဖြစ်သည်။ /dev/uinput မှတစ်ဆင့် Alt+SysRq+X ကို နှိပ်သော်လည်း ဤရွေးချယ်မှုကို အစပိုင်းတွင် ပိတ်ဆို့ထားသည်။ တစ်ချိန်တည်းမှာပင်၊ Alt+SysRq+X ကို အစားထိုးရန် အနည်းဆုံး နောက်ထပ်နည်းလမ်းနှစ်ခုကို ဖော်ထုတ်နိုင်ခဲ့သည်။
ပထမနည်းလမ်းမှာ "sysrq-trigger" interface ကို အသုံးပြုခြင်း ပါ၀င်သည် - ၎င်းကို အတုယူရန်၊ "1" မှ /proc/sys/kernel/sysrq သို့ "x" ကို /proc/sysrq-trigger မှ "XNUMX" ဟုရေးခြင်းဖြင့် ဤအင်တာဖေ့စ်ကိုဖွင့်လိုက်ပါ။ ပေါက်ကြားသည်ဟု ဆိုသည်။ ဒီဇင်ဘာလ Ubuntu kernel update နှင့် Fedora 31 တွင်ဖြစ်သည်။ အစပိုင်းတွင် developer များသည် /dev/uinput ကဲ့သို့ပင်၊ ဤနည်းလမ်းကို ပိတ်ဆို့သော်လည်း ပိတ်ဆို့ခြင်းကြောင့် အလုပ်မဖြစ်ပါ။ ကုဒ်။
ဒုတိယနည်းလမ်းမှာ keyboard emulation ပါ၀င်သည်။ ထို့နောက် အတုအယောင်ကီးဘုတ်မှ Alt+SysRq+X ကို စီစဥ်ပေးပို့ပါ။ Ubuntu နှင့် ပေးပို့သော USB/IP kernel ကို မူရင်း (CONFIG_USBIP_VHCI_HCD=m နှင့် CONFIG_USBIP_CORE=m) ဖြင့် ဖွင့်ထားပြီး လည်ပတ်ရန်အတွက် လိုအပ်သော ဒစ်ဂျစ်တယ်ဖြင့် လက်မှတ်ရေးထိုးထားသော usbip_core နှင့် vhci_hcd module များကို ပံ့ပိုးပေးပါသည်။ တိုက်ခိုက်နိုင်တယ်။ virtual USB စက်၊ loopback interface တွင် network handler နှင့် USB/IP ကို အသုံးပြု၍ အဝေးထိန်း USB ကိရိယာအဖြစ် ချိတ်ဆက်ပါ။ သတ်မှတ်ထားသောနည်းလမ်းနှင့် ပတ်သက် Ubuntu developer များထံ သော်လည်းကောင်း ဖြေရှင်းချက် မထုတ်ပြန်သေးပါ။
source: opennet.ru