kernel_lockdown(7) Miscellaneous Information Manual kernel_lockdown(7) NUME kernel_lockdown - caracteristica de prevenire a accesului la imaginea nucleului DESCRIERE Caracteristica ,,Kernel Lockdown" este conceputa pentru a impiedica accesul direct i indirect la o imagine de nucleu care ruleaza, incercand sa protejeze impotriva modificarii neautorizate a imaginii de nucleu i sa impiedice accesul la datele de securitate i criptografice aflate in memoria nucleului, permiand in acelai timp incarcarea modulelor de controlor. Daca o funcionalitate interzisa sau restricionata este accesata sau utilizata, nucleul va emite un mesaj care va arata astfel: Lockdown: X: Y is restricted, see man kernel_lockdown.7 unde X indica numele procesului, iar Y indica ceea ce este restricionat. Pe o maina x86 sau arm64 cu EFI activat, blocarea va fi activata automat daca sistemul pornete in modul EFI Secure Boot. Acoperire Atunci cand este in vigoare blocarea, o serie de caracteristici sunt dezactivate sau au utilizarea lor restricionata. Printre acestea se numara fiiere de dispozitive speciale i servicii de nucleu care permit accesul direct la imaginea nucleului: /dev/mem /dev/kmem /dev/kcore /dev/ioports BPF kprobes i capacitatea de a configura i de a controla direct dispozitivele, astfel incat sa se impiedice utilizarea unui dispozitiv pentru a accesa sau modifica o imagine de nucleu: o Utilizarea parametrilor de modul care specifica direct parametrii hardware pentru controlori din linia de comanda a nucleului sau la incarcarea unui modul. o Utilizarea accesului direct la PCI BAR. o Utilizarea instruciunilor ioperm i iopl pe x86. o Utilizarea ioctl-urilor de consola KD*IO. o Utilizarea ioctl-ului serial TIOCSSERIAL. o Modificarea registrelor MSR pe x86. o Inlocuirea CIS-ului PCMCIA. o Suprascrierea tabelelor ACPI. o Utilizarea injectarii de erori ACPI. o Specificarea adresei RDSP ACPI. o Utilizarea metodelor ACPI personalizate. Anumite facilitai sunt restricionate: o Pot fi incarcate numai modulele semnate in mod valabil (nu se aplica in cazul in care fiierul de module care se incarca este garantat de evaluarea IMA). o Numai fiierele binare semnate in mod valabil pot fi executate prin kexec (nu se aplica daca fiierul imagine binar care urmeaza sa fie executat este garantat prin evaluarea IMA). o Hibernarea/suspendarea necriptata in spaiul de interschimb (swap) nu este permisa, deoarece imaginea nucleului este salvata pe un suport care poate fi apoi accesat. o Nu este permisa utilizarea debugfs, deoarece aceasta permite o intreaga gama de aciuni, inclusiv configurarea directa, accesul la hardware, precum i controlul acestuia. o IMA necesita adaugarea regulilor ,,secure_boot" la politica, indiferent daca acestea sunt sau nu specificate in linia de comanda, atat pentru politicile incorporate, cat i pentru cele personalizate in modul de blocare a pornirii securizate. VERSIUNI Caracteristica ,,Kernel Lockdown" a fost adaugata in Linux 5.4. NOTE Caracteristica ,,Kernel Lockdown" este activata de CONFIG_SECURITY_LOCKDOWN_LSM. Parametrul de linie de comanda lsm=lsm1,...,lsmN controleaza secvena de iniializare a modulelor de securitate Linux. Acesta trebuie sa conina irul de caractere lockdown pentru a activa caracteristica ,,Kernel Lockdown". Daca parametrul liniei de comanda nu este specificat, iniializarea revine la valoarea parametrului de linie de comanda security=, care este depreciat, i mai departe la valoarea CONFIG_LSM. TRADUCERE Traducerea in limba romana a acestui manual a fost facuta de Remus- Gabriel Chelu Aceasta traducere este documentaie gratuita; citii Licena publica generala GNU Versiunea 3 sau o versiune ulterioara cu privire la condiii privind drepturile de autor. NU se asuma NICIO RESPONSABILITATE. Daca gasii erori in traducerea acestui manual, va rugam sa trimitei un e-mail la . Pagini de manual de Linux 6.06 31 octombrie 2023 kernel_lockdown(7)