Andrey Konovalov do Google
O bloqueio restringe o acesso root ao kernel e bloqueia os caminhos de bypass do UEFI Secure Boot. Por exemplo, o modo de bloqueio restringe o acesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modo de depuração kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), algumas interfaces Registros ACPI e MSR da CPU, bloqueia chamadas kexec_file e kexec_load, proíbe o modo de suspensão, limita o uso de DMA para dispositivos PCI, proíbe a importação de código ACPI de variáveis EFI, não permite manipulações com portas de E / S, incluindo alteração do número de interrupção e um Porta de E/S para a porta serial.
O mecanismo Lockdown foi adicionado recentemente ao núcleo do kernel do Linux.
No Ubuntu e Fedora, a combinação de teclas Alt+SysRq+X é fornecida para desabilitar o bloqueio. Entende-se que a combinação Alt+SysRq+X só poderá ser utilizada com acesso físico ao dispositivo, sendo que no caso de hacking remoto e obtenção de acesso root, o invasor não poderá desabilitar o Lockdown e, por exemplo, carregar um módulo não assinado com um rootkit no kernel.
Andrey Konovalov mostrou que métodos baseados em teclado para confirmar a presença física do usuário são ineficientes. A maneira mais fácil de desativar o bloqueio seria programaticamente
O primeiro método envolve o uso da interface "sysrq-trigger" - para simulação, basta habilitar essa interface escrevendo "1" em /proc/sys/kernel/sysrq e depois escrevendo "x" em /proc/sysrq- acionar. lacuna especificada
O segundo método está relacionado à emulação de teclado por meio de
Fonte: opennet.ru