安德烈·科诺瓦洛夫(Google)
锁定限制 root 用户对内核的访问并阻止 UEFI 安全启动旁路路径。 例如,锁定模式下,访问/dev/mem、/dev/kmem、/dev/port、/proc/kcore、debugfs、kprobes调试模式、mmiotrace、tracefs、BPF、PCMCIA CIS(卡信息结构)、一些接口受限 CPU 的 ACPI 和 MSR 寄存器,阻止对 kexec_file 和 kexec_load 的调用,禁止睡眠模式,限制 PCI 设备的 DMA 使用,禁止从 EFI 变量导入 ACPI 代码,不进行 I/O 端口操作允许,包括更改串口的中断号和I/O端口。
Lockdown 机制最近被添加到主 Linux 内核中
在 Ubuntu 和 Fedora 中,提供了组合键 Alt+SysRq+X 来禁用锁定。 据了解,Alt+SysRq+X 组合只能用于对设备的物理访问,在远程黑客攻击并获得 root 访问权限的情况下,攻击者将无法禁用 Lockdown,例如加载带有未数字签名到内核的 rootkit 的模块。
安德烈·科诺瓦洛夫 (Andrey Konovalov) 表明,基于键盘的方法来确认用户的实际存在是无效的。 禁用锁定的最简单方法是以编程方式
第一种方法涉及使用“sysrq-trigger”接口 - 要模拟它,只需通过向 /proc/sys/kernel/sysrq 写入“1”来启用该接口,然后向 /proc/sysrq-trigger 写入“x”。 说漏洞
第二种方法涉及键盘模拟
来源: opennet.ru