kernel_lockdown(7) | Miscellaneous Information Manual | kernel_lockdown(7) |
NUME
kernel_lockdown - caracteristica de prevenire a accesului la imaginea nucleului
DESCRIERE
Caracteristica „Kernel Lockdown” este concepută pentru a împiedica accesul direct și indirect la o imagine de nucleu care rulează, încercând să protejeze împotriva modificării neautorizate a imaginii de nucleu și să împiedice accesul la datele de securitate și criptografice aflate în memoria nucleului, permițând în același timp încărcarea modulelor de controlor.
Dacă o funcționalitate interzisă sau restricționată este accesată sau utilizată, nucleul va emite un mesaj care va arăta astfel:
Lockdown: X: Y is restricted, see man kernel_lockdown.7
unde X indică numele procesului, iar Y indică ceea ce este restricționat.
Pe o mașină x86 sau arm64 cu EFI activat, blocarea va fi activată automat dacă sistemul pornește în modul EFI Secure Boot.
Acoperire
Atunci când este în vigoare blocarea, o serie de caracteristici sunt dezactivate sau au utilizarea lor restricționată. Printre acestea se numără fișiere de dispozitive speciale și servicii de nucleu care permit accesul direct la imaginea nucleului:
/dev/kmem
/dev/kcore
/dev/ioports
BPF
kprobes
și capacitatea de a configura și de a controla direct dispozitivele, astfel încât să se împiedice utilizarea unui dispozitiv pentru a accesa sau modifica o imagine de nucleu:
- •
- Utilizarea parametrilor de modul care specifică direct parametrii hardware pentru controlori din linia de comandă a nucleului sau la încărcarea unui modul.
- •
- Utilizarea accesului direct la PCI BAR.
- •
- Utilizarea instrucțiunilor ioperm și iopl pe x86.
- •
- Utilizarea ioctl-urilor de consolă KD*IO.
- •
- Utilizarea ioctl-ului serial TIOCSSERIAL.
- •
- Modificarea registrelor MSR pe x86.
- •
- Înlocuirea CIS-ului PCMCIA.
- •
- Suprascrierea tabelelor ACPI.
- •
- Utilizarea injectării de erori ACPI.
- •
- Specificarea adresei RDSP ACPI.
- •
- Utilizarea metodelor ACPI personalizate.
Anumite facilități sunt restricționate:
- •
- Pot fi încărcate numai modulele semnate în mod valabil (nu se aplică în cazul în care fișierul de module care se încarcă este garantat de evaluarea IMA).
- •
- Numai fișierele binare semnate în mod valabil pot fi executate prin kexec (nu se aplică dacă fișierul imagine binar care urmează să fie executat este garantat prin evaluarea IMA).
- •
- Hibernarea/suspendarea necriptată în spațiul de interschimb (swap) nu este permisă, deoarece imaginea nucleului este salvată pe un suport care poate fi apoi accesat.
- •
- Nu este permisă utilizarea debugfs, deoarece aceasta permite o întreagă gamă de acțiuni, inclusiv configurarea directă, accesul la hardware, precum și controlul acestuia.
- •
- IMA necesită adăugarea regulilor „secure_boot” la politică, indiferent dacă acestea sunt sau nu specificate în linia de comandă, atât pentru politicile încorporate, cât și pentru cele personalizate în modul de blocare a pornirii securizate.
VERSIUNI
Caracteristica „Kernel Lockdown” a fost adăugată în Linux 5.4.
NOTE
Caracteristica „Kernel Lockdown” este activată de CONFIG_SECURITY_LOCKDOWN_LSM. Parametrul de linie de comandă lsm=lsm1,...,lsmN controlează secvența de inițializare a modulelor de securitate Linux. Acesta trebuie să conțină șirul de caractere lockdown pentru a activa caracteristica „Kernel Lockdown”. Dacă parametrul liniei de comandă nu este specificat, inițializarea revine la valoarea parametrului de linie de comandă security=, care este depreciat, și mai departe la valoarea CONFIG_LSM.
TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.
2 mai 2024 | Pagini de manual de Linux 6.9.1 |