.\" -*- coding: UTF-8 -*- .\" .\" Copyright (C) 2017 Red Hat, Inc. All Rights Reserved. .\" Written by David Howells (dhowells@redhat.com) .\" .\" SPDX-License-Identifier: GPL-2.0-or-later .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH kernel_lockdown 7 "2 maja 2024 r." "Linux man\-pages 6.9.1" .SH NAZWA kernel_lockdown \- funkcja uniemożliwiająca dostęp do obrazu jądra .SH OPIS Funkcja Kernel Lockdown (blokada jądra) uniemożliwia uzyskanie bezpośredniego i pośredniego dostępu do obrazu działającego jądra, co zapobiega nieautoryzowanej modyfikacji obrazu jądra oraz przeciwdziała dostępowi do danych związanych z bezpieczeństwem i kryptografią umieszczonych w pamięci jądra, zachowując przy tym możliwość ładowania modułów sterowników. .P Przy dostępie do lub użyciu zabronionej lub ograniczonej funkcji, jądro wygeneruje komunikat o treści zbliżonej do poniższej: .P .in +4n .EX Lockdown: X: Y is restricted, see man kernel_lockdown.7 .EE .in .P gdzie X oznacza nazwę procesu, a Y wskazuje na to, co jest ograniczone. .P .\" Na komputerach x86 korzystających z EFI oraz na arm64, blokada jądra zostanie automatycznie włączona, gdy rozruch systemu nastąpi w trybie EFI Secure Boot (bezpiecznego rozruchu). .SS Zakres Gdy działa blokada jądra, wiele funkcji jest wyłączonych lub działa w ograniczonym trybie. Obejmuje to specjalne pliki urządzeń oraz usługi jądra, które pozwalają na bezpośredni dostęp do obrazu jądra: .P .RS /dev/mem .br /dev/kmem .br /dev/kcore .br /dev/ioports .br BPF .br kprobes .RE .P oraz możliwość bezpośredniej konfiguracji i kontroli urządzeń tak, aby uniemożliwić ich wykorzystanie do dostępu lub modyfikacji obrazu jądra: .IP \[bu] 3 Użycie parametrów modułów, które bezpośrednio podają parametry sprzętowe sterownikom, za pomocą wiersza poleceń jądra lub przy załadowaniu modułu. .IP \[bu] Korzystanie z bezpośredniego dostępu do BAR w PCI. .IP \[bu] Korzystanie z instrukcji ioperm i iopl na x86. .IP \[bu] Korzystanie z konsolowych kontrolek systemowych KD*IO. .IP \[bu] Korzystanie z szeregowej kontrolki systemowej ioctl TIOCSSERIAL. .IP \[bu] Modyfikacja rejestrów MSR na x86. .IP \[bu] Zastępowanie CIS w PCMCIA. .IP \[bu] Przesłanianie tabel ACPI. .IP \[bu] Korzystanie z wstrzykiwania błędów ACPI. .IP \[bu] Określanie adresów RDSP ACPI. .IP \[bu] Korzystanie z niestandardowych metod ACPI. .P Określone funkcje są ograniczone: .IP \[bu] 3 Załadowane mogą być jedynie prawidłowo podpisane moduły (chyba, że za ładowany plik modułu, ręczy mechanizm IMA\-appraisal). .IP \[bu] Załadowane za pomocą kexec mogą być jedynie prawidłowo podpisane pliki wykonywalne (chyba, że za mający być wykonany plik obrazu binarnego, ręczy mechanizm IMA\-appraisal). .IP \[bu] Niedozwolona jest hibernacja oraz wstrzymanie do pamięci wymiany, ponieważ wówczas obraz jądra jest zachowywany na nośnik, do którego można uzyskać dostęp. .IP \[bu] Niedozwolone jest korzystanie z debugfs, ponieważ umożliwia on wiele działań, takich jak bezpośrednia konfiguracja, dostęp do sprzętu i kierowanie nim. .IP \[bu] IMA wymaga dodania do zasad reguł \[Bq]secure_boot\[rq], niezależnie od tego, czy zostały one podane w wierszu polecenia; odnosi się to zasad wbudowanych i niestandardowych w trybie bezpiecznego rozruchu z blokadą jądra. .SH WERSJE Funkcję Kernel Lockdown dodano w Linuksie 5.4. .SH UWAGI Funkcja Kernel Lockdown jest włączana opcją CONFIG_SECURITY_LOCKDOWN_LSM. Parametr wiersza poleceń \fIlsm=lsm1,...,lsmN\fP kontroluje sekwencję inicjowania linuksowych modułów zabezpieczeń (Linux Security Modules). Musi zawierać łańcuch \fIlockdown\fP, aby włączyć funkcję Kernel Lockdown. Jeśli ten parametr wiersza poleceń nie zostanie podany, inicjowanie zapasowo skorzysta z wartości przestarzałego parametru wiersza poleceń \fIsecurity=\fP, a w ostateczności z wartości CONFIG_LSM. .\" commit 000d388ed3bbed745f366ce71b2bb7c2ee70f449 .PP .SH TŁUMACZENIE Autorami polskiego tłumaczenia niniejszej strony podręcznika są: Michał Kułach . .PP Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji można uzyskać zapoznając się z .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License w wersji 3 .UE lub nowszej. Nie przyjmuje się ŻADNEJ ODPOWIEDZIALNOŚCI. .PP Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej .MT manpages-pl-list@lists.sourceforge.net .ME .