.\" -*- coding: UTF-8 -*- .\" .\" Copyright (C) 2017 Red Hat, Inc. All Rights Reserved. .\" Written by David Howells (dhowells@redhat.com) .\" .\" SPDX-License-Identifier: GPL-2.0-or-later .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH kernel_lockdown 7 "5 februarie 2023" "Pagini de manual de Linux 6.05.01" .SH NUME kernel_lockdown \- caracteristica de prevenire a accesului la imaginea nucleului .SH DESCRIERE Caracteristica „Kernel Lockdown” este concepută pentru a împiedica accesul direct și indirect la o imagine de nucleu care rulează, încercând să protejeze împotriva modificării neautorizate a imaginii de nucleu și să împiedice accesul la datele de securitate și criptografice aflate în memoria nucleului, permițând în același timp încărcarea modulelor de controlor. .PP Dacă o funcționalitate interzisă sau restricționată este accesată sau utilizată, nucleul va emite un mesaj care va arăta astfel: .PP .in +4n .EX Lockdown: X: Y is restricted, see man kernel_lockdown.7 .EE .in .PP unde X indică numele procesului, iar Y indică ceea ce este restricționat. .PP .\" Pe o mașină x86 sau arm64 cu EFI activat, blocarea va fi activată automat dacă sistemul pornește în modul EFI Secure Boot. .SS Acoperire Atunci când este în vigoare blocarea, o serie de caracteristici sunt dezactivate sau au utilizarea lor restricționată. Printre acestea se numără fișiere de dispozitive speciale și servicii de nucleu care permit accesul direct la imaginea nucleului: .PP .RS /dev/mem .br /dev/kmem .br /dev/kcore .br /dev/ioports .br BPF .br kprobes .RE .PP și capacitatea de a configura și de a controla direct dispozitivele, astfel încât să se împiedice utilizarea unui dispozitiv pentru a accesa sau modifica o imagine de nucleu: .IP \[bu] 3 Utilizarea parametrilor de modul care specifică direct parametrii hardware pentru controlori din linia de comandă a nucleului sau la încărcarea unui modul. .IP \[bu] Utilizarea accesului direct la PCI BAR. .IP \[bu] Utilizarea instrucțiunilor ioperm și iopl pe x86. .IP \[bu] Utilizarea ioctl\-urilor de consolă KD*IO. .IP \[bu] Utilizarea ioctl\-ului serial TIOCSSERIAL. .IP \[bu] Modificarea registrelor MSR pe x86. .IP \[bu] Înlocuirea CIS\-ului PCMCIA. .IP \[bu] Suprascrierea tabelelor ACPI. .IP \[bu] Utilizarea injectării de erori ACPI. .IP \[bu] Specificarea adresei RDSP ACPI. .IP \[bu] Utilizarea metodelor ACPI personalizate. .PP Anumite facilități sunt restricționate: .IP \[bu] 3 Pot fi încărcate numai modulele semnate în mod valabil (nu se aplică în cazul în care fișierul de module care se încarcă este garantat de evaluarea IMA). .IP \[bu] Numai fișierele binare semnate în mod valabil pot fi executate prin kexec (nu se aplică dacă fișierul imagine binar care urmează să fie executat este garantat prin evaluarea IMA). .IP \[bu] Hibernarea/suspendarea necriptată în spațiul de interschimb (swap) nu este permisă, deoarece imaginea nucleului este salvată pe un suport care poate fi apoi accesat. .IP \[bu] Nu este permisă utilizarea debugfs, deoarece aceasta permite o întreagă gamă de acțiuni, inclusiv configurarea directă, accesul la hardware, precum și controlul acestuia. .IP \[bu] IMA necesită adăugarea regulilor „secure_boot” la politică, indiferent dacă acestea sunt sau nu specificate în linia de comandă, atât pentru politicile încorporate, cât și pentru cele personalizate în modul de blocare a pornirii securizate. .SH VERSIUNI Caracteristica „Kernel Lockdown” a fost adăugată în Linux 5.4. .SH NOTE Caracteristica „Kernel Lockdown” este activată de CONFIG_SECURITY_LOCKDOWN_LSM. Parametrul de linie de comandă \fIlsm=lsm1,...,lsmN\fP controlează secvența de inițializare a modulelor de securitate Linux. Acesta trebuie să conțină șirul de caractere \fIlockdown\fP pentru a activa caracteristica „Kernel Lockdown”. Dacă parametrul liniei de comandă nu este specificat, inițializarea revine la valoarea parametrului de linie de comandă \fIsecurity=\fP, care este depreciat, și mai departe la valoarea CONFIG_LSM. .\" commit 000d388ed3bbed745f366ce71b2bb7c2ee70f449 .PP .SH TRADUCERE Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu . .PP Această traducere este documentație gratuită; citiți .UR https://www.gnu.org/licenses/gpl-3.0.html Licența publică generală GNU Versiunea 3 .UE sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE. .PP Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la .MT translation-team-ro@lists.sourceforge.net .ME .