Андрій Коновалов із компанії Google
Lockdown обмежує доступ користувача root до ядра та блокує шляхи обходу UEFI Secure Boot. Наприклад, у режимі lockdown обмежується доступ до /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, налагоджувального режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), деяких інтерфейсів ACPI та MSR-регістрам CPU, блокуються виклики kexec_file та kexec_load, забороняється перехід у сплячий режим, лімітується використання DMA для PCI-пристроїв, забороняється імпорт коду ACPI зі змінних EFI, не допускаються маніпуляції з портами вводу/виводу, у тому числі зміна номеру переривання та порту введення/виводу для послідовного порту.
Механізм Lockdown нещодавно був доданий до основного складу ядра Linux
У Ubuntu та Fedora для відключення Lockdown передбачена комбінація клавіш Alt+SysRq+X. Мається на увазі, що комбінацію Alt+SysRq+X можна використовувати тільки при фізичному доступі до пристрою, а у разі віддаленого злому та отримання root-доступу атакуючий не зможе відключити Lockdown і, наприклад, завантажити в ядро незавірений цифровим підписом модуль з rootkit-ом.
Андрій Коновалов показав, що пов'язані з використанням клавіатури методи підтвердження фізичної присутності користувача є неефективними. Найпростішим способом відключення Lockdown була б програмна
Перший спосіб пов'язаний з використанням інтерфейсу "sysrq-trigger" - для симуляції достатньо включити цей інтерфейс, записавши "1" /proc/sys/kernel/sysrq, а потім записати "x" в /proc/sysrq-trigger. Вказана лазівка
Другий спосіб пов'язаний з емуляцією клавіатури через
Джерело: opennet.ru