kernel_lockdown(7) Miscellaneous Information Manual kernel_lockdown(7)

kernel_lockdown - caracteristica de prevenire a accesului la imaginea nucleului

Caracteristica „Kernel Lockdown” este concepută pentru a împiedica accesul direct și indirect la o imagine de nucleu care rulează, încercând să protejeze împotriva modificării neautorizate a imaginii de nucleu și să împiedice accesul la datele de securitate și criptografice aflate în memoria nucleului, permițând în același timp încărcarea modulelor de controlor.

Dacă o funcționalitate interzisă sau restricționată este accesată sau utilizată, nucleul va emite un mesaj care va arăta astfel:


Lockdown: X: Y is restricted, see man kernel_lockdown.7

unde X indică numele procesului, iar Y indică ceea ce este restricționat.

Pe o mașină x86 sau arm64 cu EFI activat, blocarea va fi activată automat dacă sistemul pornește în modul EFI Secure Boot.

Atunci când este în vigoare blocarea, o serie de caracteristici sunt dezactivate sau au utilizarea lor restricționată. Printre acestea se numără fișiere de dispozitive speciale și servicii de nucleu care permit accesul direct la imaginea nucleului:

/dev/mem
/dev/kmem
/dev/kcore
/dev/ioports
BPF
kprobes

și capacitatea de a configura și de a controla direct dispozitivele, astfel încât să se împiedice utilizarea unui dispozitiv pentru a accesa sau modifica o imagine de nucleu:

Utilizarea parametrilor de modul care specifică direct parametrii hardware pentru controlori din linia de comandă a nucleului sau la încărcarea unui modul.
Utilizarea accesului direct la PCI BAR.
Utilizarea instrucțiunilor ioperm și iopl pe x86.
Utilizarea ioctl-urilor de consolă KD*IO.
Utilizarea ioctl-ului serial TIOCSSERIAL.
Modificarea registrelor MSR pe x86.
Înlocuirea CIS-ului PCMCIA.
Suprascrierea tabelelor ACPI.
Utilizarea injectării de erori ACPI.
Specificarea adresei RDSP ACPI.
Utilizarea metodelor ACPI personalizate.

Anumite facilități sunt restricționate:

Pot fi încărcate numai modulele semnate în mod valabil (nu se aplică în cazul în care fișierul de module care se încarcă este garantat de evaluarea IMA).
Numai fișierele binare semnate în mod valabil pot fi executate prin kexec (nu se aplică dacă fișierul imagine binar care urmează să fie executat este garantat prin evaluarea IMA).
Hibernarea/suspendarea necriptată în spațiul de interschimb (swap) nu este permisă, deoarece imaginea nucleului este salvată pe un suport care poate fi apoi accesat.
Nu este permisă utilizarea debugfs, deoarece aceasta permite o întreagă gamă de acțiuni, inclusiv configurarea directă, accesul la hardware, precum și controlul acestuia.
IMA necesită adăugarea regulilor „secure_boot” la politică, indiferent dacă acestea sunt sau nu specificate în linia de comandă, atât pentru politicile încorporate, cât și pentru cele personalizate în modul de blocare a pornirii securizate.

Caracteristica „Kernel Lockdown” a fost adăugată în Linux 5.4.

Caracteristica „Kernel Lockdown” este activată de CONFIG_SECURITY_LOCKDOWN_LSM. Parametrul de linie de comandă lsm=lsm1,...,lsmN controlează secvența de inițializare a modulelor de securitate Linux. Acesta trebuie să conțină șirul de caractere lockdown pentru a activa caracteristica „Kernel Lockdown”. Dacă parametrul liniei de comandă nu este specificat, inițializarea revine la valoarea parametrului de linie de comandă security=, care este depreciat, și mai departe la valoarea CONFIG_LSM.

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.

2 mai 2024 Pagini de manual de Linux 6.9.1