安德烈·科諾瓦洛夫(Google)
鎖定限制 root 用戶對內核的訪問並阻止 UEFI 安全啟動旁路路徑。 例如,鎖定模式限制對/dev/mem、/dev/kmem、/dev/port、/proc/kcore、debugfs、kprobes 調試模式、mmiotrace、tracefs、BPF、PCMCIA CIS(卡信息結構)、某些接口的訪問CPU 的 ACPI 和 MSR 寄存器、對 kexec_file 和 kexec_load 的調用被阻止、禁止轉換到睡眠模式、PCI 設備的 DMA 使用受到限制、禁止從 EFI 變量導入 ACPI 代碼、I/O 操作不允許更改端口,包括更改中斷號和串行端口的I/O 端口。
Lockdown 機制最近被添加到 Linux 內核的核心中。
在 Ubuntu 和 Fedora 中,提供了組合鍵 Alt+SysRq+X 來禁用鎖定。 據了解,Alt+SysRq+X組合只能用於對設備的物理訪問,在遠程黑客攻擊並獲得root訪問權限的情況下,攻擊者將無法禁用Lockdown,例如加載帶有rootkit 的未簽名模塊進入內核。
安德烈·科諾瓦洛夫 (Andrey Konovalov) 表明,基於鍵盤的確認用戶實際存在的方法效率低下。 禁用鎖定的最簡單方法是以編程方式
第一種方法涉及使用“sysrq-trigger”接口- 為了進行模擬,只需將“1”寫入/proc/sys/kernel/sysrq,然後將“x”寫入/proc/sysrq即可啟用該接口-扳機。 指定漏洞
第二種方法與鍵盤模擬有關
來源: opennet.ru