Andrey Konovalov mula sa Google
Pinaghihigpitan ng Lockdown ang pag-access ng root user sa kernel at hinaharangan ang mga path ng bypass ng UEFI Secure Boot. Halimbawa, sa lockdown mode, access sa /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugging mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), ilan ang mga interface ay limitado ang ACPI at MSR na mga rehistro ng CPU, ang mga tawag sa kexec_file at kexec_load ay naharang, ang sleep mode ay ipinagbabawal, ang paggamit ng DMA para sa mga PCI device ay limitado, ang pag-import ng ACPI code mula sa mga variable ng EFI ay ipinagbabawal, ang mga manipulasyon sa mga I/O port ay hindi pinapayagan, kabilang ang pagpapalit ng interrupt number at I/O port para sa serial port.
Ang mekanismo ng Lockdown ay idinagdag kamakailan sa pangunahing Linux kernel
Sa Ubuntu at Fedora, ibinibigay ang key combination na Alt+SysRq+X para hindi paganahin ang Lockdown. Nauunawaan na ang kumbinasyong Alt+SysRq+X ay magagamit lamang sa pisikal na pag-access sa device, at sa kaso ng malayuang pag-hack at pagkakaroon ng root access, hindi magagawa ng attacker na i-disable ang Lockdown at, halimbawa, mag-load ng isang module na may rootkit na hindi digitally sign in sa kernel.
Ipinakita ni Andrey Konovalov na ang mga pamamaraan na nakabatay sa keyboard para sa pagkumpirma ng pisikal na presensya ng gumagamit ay hindi epektibo. Ang pinakasimpleng paraan upang hindi paganahin ang Lockdown ay ang programmatically
Ang unang paraan ay kinabibilangan ng paggamit ng "sysrq-trigger" na interface - upang gayahin ito, paganahin lamang ang interface na ito sa pamamagitan ng pagsulat ng "1" sa /proc/sys/kernel/sysrq, at pagkatapos ay isulat ang "x" sa /proc/sysrq-trigger. Sabi ng loophole
Ang pangalawang paraan ay nagsasangkot ng pagtulad sa keyboard sa pamamagitan ng
Pinagmulan: opennet.ru