kernel_lockdown(7) Miscellaneous Information Manual kernel_lockdown(7) NAZWA kernel_lockdown - funkcja uniemozliwiajaca dostep do obrazu jadra OPIS Funkcja Kernel Lockdown (blokada jadra) uniemozliwia uzyskanie bezposredniego i posredniego dostepu do obrazu dzialajacego jadra, co zapobiega nieautoryzowanej modyfikacji obrazu jadra oraz przeciwdziala dostepowi do danych zwiazanych z bezpieczenstwem i kryptografia umieszczonych w pamieci jadra, zachowujac przy tym mozliwosc ladowania modulow sterownikow. Przy dostepie do lub uzyciu zabronionej lub ograniczonej funkcji, jadro wygeneruje komunikat o tresci zblizonej do ponizszej: Lockdown: X: Y is restricted, see man kernel_lockdown.7 gdzie X oznacza nazwe procesu, a Y wskazuje na to, co jest ograniczone. Na komputerach x86 korzystajacych z EFI oraz na arm64, blokada jadra zostanie automatycznie wlaczona, gdy rozruch systemu nastapi w trybie EFI Secure Boot (bezpiecznego rozruchu). Zakres Gdy dziala blokada jadra, wiele funkcji jest wylaczonych lub dziala w ograniczonym trybie. Obejmuje to specjalne pliki urzadzen oraz uslugi jadra, ktore pozwalaja na bezposredni dostep do obrazu jadra: /dev/mem /dev/kmem /dev/kcore /dev/ioports BPF kprobes oraz mozliwosc bezposredniej konfiguracji i kontroli urzadzen tak, aby uniemozliwic ich wykorzystanie do dostepu lub modyfikacji obrazu jadra: o Uzycie parametrow modulow, ktore bezposrednio podaja parametry sprzetowe sterownikom, za pomoca wiersza polecen jadra lub przy zaladowaniu modulu. o Korzystanie z bezposredniego dostepu do BAR w PCI. o Korzystanie z instrukcji ioperm i iopl na x86. o Korzystanie z konsolowych kontrolek systemowych KD*IO. o Korzystanie z szeregowej kontrolki systemowej ioctl TIOCSSERIAL. o Modyfikacja rejestrow MSR na x86. o Zastepowanie CIS w PCMCIA. o Przeslanianie tabel ACPI. o Korzystanie z wstrzykiwania bledow ACPI. o Okreslanie adresow RDSP ACPI. o Korzystanie z niestandardowych metod ACPI. Okreslone funkcje sa ograniczone: o Zaladowane moga byc jedynie prawidlowo podpisane moduly (chyba, ze za ladowany plik modulu, reczy mechanizm IMA-appraisal). o Zaladowane za pomoca kexec moga byc jedynie prawidlowo podpisane pliki wykonywalne (chyba, ze za majacy byc wykonany plik obrazu binarnego, reczy mechanizm IMA-appraisal). o Niedozwolona jest hibernacja oraz wstrzymanie do pamieci wymiany, poniewaz wowczas obraz jadra jest zachowywany na nosnik, do ktorego mozna uzyskac dostep. o Niedozwolone jest korzystanie z debugfs, poniewaz umozliwia on wiele dzialan, takich jak bezposrednia konfiguracja, dostep do sprzetu i kierowanie nim. o IMA wymaga dodania do zasad regul ,,secure_boot", niezaleznie od tego, czy zostaly one podane w wierszu polecenia; odnosi sie to zasad wbudowanych i niestandardowych w trybie bezpiecznego rozruchu z blokada jadra. WERSJE Funkcje Kernel Lockdown dodano w Linuksie 5.4. UWAGI Funkcja Kernel Lockdown jest wlaczana opcja CONFIG_SECURITY_LOCKDOWN_LSM. Parametr wiersza polecen lsm=lsm1,...,lsmN kontroluje sekwencje inicjowania linuksowych modulow zabezpieczen (Linux Security Modules). Musi zawierac lancuch lockdown, aby wlaczyc funkcje Kernel Lockdown. Jesli ten parametr wiersza polecen nie zostanie podany, inicjowanie zapasowo skorzysta z wartosci przestarzalego parametru wiersza polecen security=, a w ostatecznosci z wartosci CONFIG_LSM. TLUMACZENIE Autorami polskiego tlumaczenia niniejszej strony podrecznika sa: Michal Kulach Niniejsze tlumaczenie jest wolna dokumentacja. Blizsze informacje o warunkach licencji mozna uzyskac zapoznajac sie z GNU General Public License w wersji 3 lub nowszej. Nie przyjmuje sie ZADNEJ ODPOWIEDZIALNOSCI. Bledy w tlumaczeniu strony podrecznika prosimy zglaszac na adres listy dyskusyjnej . Linux man-pages 6.8 2 maja 2024 r. kernel_lockdown(7)