Проектът Openwall наскоро обяви пускането на новата версия на модула на ядрото "LKRG 0.9.2" (Linux Kernel Runtime Guard), който е предназначен да открива и блокира атаки и нарушения на целостта на структурите на ядрото.
LKRG в момента поддържа x86-64, x86 32-bit, AArch64 (ARM64) и ARM 32-bit
CPU архитектури.
Относно LKRG
Както споменахме, модулът LKRG sТой е отговорен за извършването на проверка на целостта в средата на изпълнение на ядрото на Linux и откриването на уязвимости в сигурността. експлодира срещу ядрото. Например, модулът може да защити срещу неоторизирани промени в работещото ядро и опити за промяна на разрешенията на потребителските процеси (определяне на използването на експлойти).
Модулът е подходящ както за организиране на защита срещу експлоатация на вече известни уязвимости в ядрото на Linux (например в ситуации, когато е трудно да се актуализира ядрото в системата), така и за противодействие на експлоатация на все още неизвестни уязвимости.
Трябва да се разбира, че LKRG е модул на ядрото (не е кръпка на ядрото), така че може да се компилира и зарежда на широк набор от основни и дистрибутивни ядра, без да е необходимо никое от тях да бъде кръпка.
Понастоящем модулът има поддръжка за версии на ядрото, вариращи от RHEL7 (и неговите много клонинги/ревизии) и Ubuntu 16.04 до най-новите дистрибуции на основна линия и ядро.
Основни новини на LKRG 0.9.2
В тази нова версия, която е представена, разработчиците споменават, че lСъвместимостта е осигурена с Linux ядра от 5.14 до 5.16-rc, както и с LTS ядра 5.4.118+, 4.19.191+ и 4.14.233+.
По време на предишната ни версия, LKRG 0.9.1, Linux 5.12.x беше последно ядро. Имахме късмет, че работи и от кутията на Linux 5.13.x и по-нови по-нови дългосрочни ядра от серия 5.10.x. Въпреки това, към 5.14, като както и за 3 по-стари дългосрочни серии на ядрото, изброени в регистъра на промените
по-рано трябваше да направим промени, за да поддържаме тези по-нови версии на ядрото.
По отношение на промените, които се открояват от новата версия, се подчертава, че добавена поддръжка за различни настройки на CONFIG_SECCOMP, както и поддръжка за параметъра на ядрото "nolkrg" за деактивиране на LKRG по време на зареждане.
От страна на корекциите на грешки се споменава, че коригирани фалшиви положителни резултати поради състояние на състезание по време на обработка на SCOMP_FILTER_FLAG_TSYNC, плюс също фиксирана поддръжка за настройката CONFIG_HAVE_STATIC_CALL на Linux 5.10+ ядра (фиксирани условия на състезание при разтоварване на други модули).
Освен това се гарантира, че имената на модулите, блокирани при използване на настройката lkrg.block_modules=1, се записват в системния регистър.
От останалите промени които се открояват от тази нова версия:
- Внедрено поставяне на sysctl-настройки във файла /etc/sysctl.d/01-lkrg.conf
- Добавен е конфигурационният файл dkms.conf за системата DKMS (Dynamic Kernel Module Support), която се използва за създаване на модули на трети страни след актуализация на ядрото.
- Подобрена и актуализирана поддръжка за компилации за отстраняване на грешки и системи за непрекъсната интеграция.
Накрая ако се интересувате да научите повече относно проекта, трябва да знаете, че кодът на проекта се разпространява под лиценза GPLv2.
За тези, които се интересуват от възможността да инсталират този модул, е важно да споменем, че se изисква директория за изграждане на ядрото съответстващ на изображението на ядрото на Linux, на което ще работи модулът. Например, на Debian и Ubuntu можете да се измъкнете с необходимата инфраструктура за компилиране само като инсталирате linux-headers:
sudo apt-get install linux-headers-$(uname -r )
В случай на дистрибуции, като RHEL, Fedora или базирани на тях дистрибуции (и дори CentOS), пакетът за инсталиране е следният:
sudo yum install kernel-devel
За да научите повече за това както и инструкциите за компилация могат да се консултират с информацията В следващия линк.