oracular (7) kernel_lockdown.7.gz
NUME
kernel_lockdown - caracteristica de prevenire a accesului la imaginea nucleului
DESCRIERE
Caracteristica „Kernel Lockdown” este concepută pentru a împiedica accesul direct și indirect la o
imagine de nucleu care rulează, încercând să protejeze împotriva modificării neautorizate a imaginii de
nucleu și să împiedice accesul la datele de securitate și criptografice aflate în memoria nucleului,
permițând în același timp încărcarea modulelor de controlor.
Dacă o funcționalitate interzisă sau restricționată este accesată sau utilizată, nucleul va emite un
mesaj care va arăta astfel:
Lockdown: X: Y is restricted, see man kernel_lockdown.7
unde X indică numele procesului, iar Y indică ceea ce este restricționat.
Pe o mașină x86 sau arm64 cu EFI activat, blocarea va fi activată automat dacă sistemul pornește în modul
EFI Secure Boot.
Acoperire
Atunci când este în vigoare blocarea, o serie de caracteristici sunt dezactivate sau au utilizarea lor
restricționată. Printre acestea se numără fișiere de dispozitive speciale și servicii de nucleu care
permit accesul direct la imaginea nucleului:
/dev/mem
/dev/kmem
/dev/kcore
/dev/ioports
BPF
kprobes
și capacitatea de a configura și de a controla direct dispozitivele, astfel încât să se împiedice
utilizarea unui dispozitiv pentru a accesa sau modifica o imagine de nucleu:
• Utilizarea parametrilor de modul care specifică direct parametrii hardware pentru controlori din linia
de comandă a nucleului sau la încărcarea unui modul.
• Utilizarea accesului direct la PCI BAR.
• Utilizarea instrucțiunilor ioperm și iopl pe x86.
• Utilizarea ioctl-urilor de consolă KD*IO.
• Utilizarea ioctl-ului serial TIOCSSERIAL.
• Modificarea registrelor MSR pe x86.
• Înlocuirea CIS-ului PCMCIA.
• Suprascrierea tabelelor ACPI.
• Utilizarea injectării de erori ACPI.
• Specificarea adresei RDSP ACPI.
• Utilizarea metodelor ACPI personalizate.
Anumite facilități sunt restricționate:
• Pot fi încărcate numai modulele semnate în mod valabil (nu se aplică în cazul în care fișierul de
module care se încarcă este garantat de evaluarea IMA).
• Numai fișierele binare semnate în mod valabil pot fi executate prin kexec (nu se aplică dacă fișierul
imagine binar care urmează să fie executat este garantat prin evaluarea IMA).
• Hibernarea/suspendarea necriptată în spațiul de interschimb (swap) nu este permisă, deoarece imaginea
nucleului este salvată pe un suport care poate fi apoi accesat.
• Nu este permisă utilizarea debugfs, deoarece aceasta permite o întreagă gamă de acțiuni, inclusiv
configurarea directă, accesul la hardware, precum și controlul acestuia.
• IMA necesită adăugarea regulilor „secure_boot” la politică, indiferent dacă acestea sunt sau nu
specificate în linia de comandă, atât pentru politicile încorporate, cât și pentru cele personalizate
în modul de blocare a pornirii securizate.
VERSIUNI
Caracteristica „Kernel Lockdown” a fost adăugată în Linux 5.4.
NOTE
Caracteristica „Kernel Lockdown” este activată de CONFIG_SECURITY_LOCKDOWN_LSM. Parametrul de linie de
comandă lsm=lsm1,...,lsmN controlează secvența de inițializare a modulelor de securitate Linux. Acesta
trebuie să conțină șirul de caractere lockdown pentru a activa caracteristica „Kernel Lockdown”. Dacă
parametrul liniei de comandă nu este specificat, inițializarea revine la valoarea parametrului de linie
de comandă security=, care este depreciat, și mai departe la valoarea CONFIG_LSM.
TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu
<remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3
⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ sau o versiune ulterioară cu privire la condiții privind
drepturile de autor. NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la ⟨translation-team-
ro@lists.sourceforge.net⟩.