Andrey Konovalov kutoka Google
Kufungia kunazuia ufikiaji wa mtumiaji wa mizizi kwa kernel na kuzuia njia za kupuuza za UEFI Secure Boot. Kwa mfano, katika hali ya kufunga, ufikiaji wa /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugging mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Muundo wa Taarifa ya Kadi), baadhi miingiliano ni ndogo ACPI na rejista za MSR za CPU, simu kwa kexec_file na kexec_load zimezuiwa, hali ya kulala imepigwa marufuku, matumizi ya DMA kwa vifaa vya PCI ni mdogo, uingizaji wa msimbo wa ACPI kutoka kwa vigezo vya EFI hauruhusiwi, ghiliba na bandari za I/O haziruhusiwi. inaruhusiwa, ikiwa ni pamoja na kubadilisha nambari ya kukatiza na mlango wa I/O kwa mlango wa mfululizo.
Utaratibu wa Kufungia uliongezwa hivi majuzi kwenye kinu kuu cha Linux
Katika Ubuntu na Fedora, mchanganyiko muhimu Alt+SysRq+X hutolewa ili kuzima Lockdown. Inaeleweka kuwa mchanganyiko wa Alt+SysRq+X unaweza kutumika tu na ufikiaji wa kifaa kwa kifaa, na katika kesi ya utapeli wa mbali na kupata ufikiaji wa mizizi, mshambuliaji hataweza kuzima Lockdown na, kwa mfano, kupakia a. moduli iliyo na rootkit ambayo haijatiwa saini kidijitali kwenye kernel.
Andrey Konovalov alionyesha kuwa mbinu za msingi za kibodi za kuthibitisha uwepo wa mtumiaji kimwili hazifanyi kazi. Njia rahisi zaidi ya kuzima Lockdown itakuwa kwa utaratibu
Njia ya kwanza inahusisha kutumia kiolesura cha "sysrq-trigger" - kuiga, wezesha tu kiolesura hiki kwa kuandika "1" hadi /proc/sys/kernel/sysrq, na kisha andika "x" kwa /proc/sysrq-trigger. Alisema mwanya
Njia ya pili inahusisha uigaji wa kibodi kupitia
Chanzo: opennet.ru