اندری کونوالوف د ګوګل څخه له لرې لرې د محافظت غیر فعالولو لاره د اوبنټو سره لیږل شوي د لینکس کرنل کڅوړه کې وړاندیز شوی (تخنیکي په تیوريکي وړاندیز شوي د فیډورا د کرنل او نورو توزیعونو سره کار وکړئ، مګر دوی ازمول شوي ندي).
لاک ډاون کرنل ته د روټ کارونکي لاسرسی محدودوي او د UEFI خوندي بوټ بای پاس لارې بندوي. د مثال په توګه، د لاک ډاون حالت کې، /dev/mem، /dev/kmem، /dev/port، /proc/kcore، debugfs، kprobes debugging mode، mmiotrace، tracefs، BPF، PCMCIA CIS (د کارت معلوماتو جوړښت) ته لاسرسی، ځینې انٹرفیسونه د CPU ACPI او MSR راجسترونه محدود دي، kexec_file او kexec_load ته زنګونه بند دي، د خوب حالت منع دی، د PCI وسیلو لپاره د DMA کارول محدود دي، د EFI متغیرونو څخه د ACPI کوډ واردول منع دي، د I/O بندرونو سره لاسوهنه نه ده اجازه ورکړل شوې، په شمول د سیریل پورټ لپاره د مداخلې شمیره او I/O بندر بدلول.
د لاک ډاون میکانیزم پدې وروستیو کې د لینکس اصلي کرنل کې اضافه شوی ، مګر په توزیع کې چمتو شوي دانا کې دا لاهم د پیچونو په شکل پلي کیږي یا د پیچونو سره ضمیمه کیږي. د توزیع کټونو کې چمتو شوي اضافې او په کرنل کې رامینځته شوي پلي کولو ترمینځ یو له توپیرونو څخه د چمتو شوي تالاشۍ غیر فعال کولو وړتیا ده که تاسو سیسټم ته فزیکي لاسرسی لرئ.
په اوبنټو او فیډورا کې، کلیدي ترکیب Alt+SysRq+X د لاک ډاون غیر فعالولو لپاره چمتو شوی. دا معلومه شوه چې د Alt+SysRq+X ترکیب یوازې وسیله ته د فزیکي لاسرسي سره کارول کیدی شي، او د ریموټ هیک کولو او د روټ لاسرسي په صورت کې، برید کوونکی به ونه شي کولی لاک ډاون غیر فعال کړي او د مثال په توګه، یو بار بار کړئ. ماډل د روټکیټ سره چې په ډیجیټل ډول په کرنل کې لاسلیک شوی نه وي.
اندری کونوالوف وښودله چې د کارونکي فزیکي شتون تایید کولو لپاره د کیبورډ پر بنسټ میتودونه غیر موثر دي. د لاک ډاون غیر فعالولو ترټولو ساده لاره به په برنامه توګه وي د /dev/uinput له لارې د Alt+SysRq+X فشارول، مګر دا اختیار په پیل کې بند شوی دی. په ورته وخت کې، دا ممکنه وه چې لږ تر لږه دوه نور میتودونه د Alt+SysRq+X ځای ونیسي.
په لومړۍ طریقه کې د "sysrq-trigger" انٹرفیس کارول شامل دي - د دې سمولو لپاره، یوازې دا انٹرفیس د "1" په لیکلو سره فعال کړئ /proc/sys/kernel/sysrq، او بیا "x" په /proc/sysrq-trigger کې ولیکئ. وویل لوپول د دسمبر په اوبنټو کرنل کې تازه او په فیډورا 31 کې. دا د یادونې وړ ده چې پراختیا کونکي ، لکه څنګه چې د /dev/uinput په قضیه کې ، په پیل کې دا طریقه بلاک کړه، مګر بلاک کول د دې له امله کار نه کوي په کوډ کې.
دوهم میتود د کیبورډ ایمولیشن له لارې شامل دی او بیا د مجازی کیبورډ څخه ترتیب Alt+SysRq+X لیږل. د Ubuntu سره لیږل شوي USB/IP دانه د ډیفالټ لخوا فعاله شوې (CONFIG_USBIP_VHCI_HCD=m او CONFIG_USBIP_CORE=m) او د ډیجیټل لاسلیک شوي usbip_core او vhci_hcd ماډلونه د عملیاتو لپاره اړین چمتو کوي. برید کوونکی کولی شي مجازی USB وسیله، د لوپ بیک انٹرفیس کې د شبکې سمبالونکی او دا د USB/IP په کارولو سره د ریموټ USB وسیلې په توګه وصل کول. د ټاکل شوي میتود په اړه د اوبنټو پراختیا کونکو ته ، مګر یو فکس لاهم ندی خپور شوی.
سرچینه: opennet.ru