Projekat Openwall je nedavno predstavio lansiranje nova verzija modula kernela "LKRG 0.9.2" (Linux Kernel Runtime Guard) koji je dizajniran za otkrivanje i blokiranje napada i kršenja integriteta struktura kernela.
LKRG trenutno podržava x86-64, x86 32-bit, AArch64 (ARM64) i ARM 32-bit
CPU arhitekture.
O LKRG
Kao što je spomenuto LKRG modul si odgovoran je za izvođenje provjere integriteta u runtimeu Linux kernela i otkrivanje sigurnosnih propusta eksplodira o kernel. Na primjer, modul može zaštititi od neovlaštenih promjena pokrenutog kernela i pokušaja da promijeni dozvole korisničkih procesa (određivanjem upotrebe exploit-a).
Modul je pogodan kako za organizovanje zaštite od eksploatacije već poznatih ranjivosti u Linux kernelu (na primer, u situacijama kada je teško ažurirati kernel na sistemu) tako i za suzbijanje eksploatacije još uvek nepoznatih ranjivosti.
Treba shvatiti da LKRG je modul kernela (nije zakrpa kernela), tako da se može kompajlirati i učitati na širok raspon glavnih i distribucijskih kernela, bez potrebe da se bilo koji od njih zakrpi.
Trenutno, modul ima podršku za verzije kernela u rasponu od RHEL7 (i njegovih brojnih klonova/revizija) i Ubuntu 16.04 do najnovijih glavnih i jezgrinih distribucija.
Glavne nove karakteristike LKRG 0.9.2
U ovoj novoj verziji koja je predstavljena, programeri spominju da lKompatibilnost je zagarantovana sa Linux kernelima 5.14 do 5.16-rc, kao i sa LTS kernelima 5.4.118+, 4.19.191+ i 4.14.233+.
U vrijeme našeg prethodnog izdanja, LKRG 0.9.1, Linux 5.12.x je bio poslednje jezgro. Imali smo sreće da je isto tako radio i na Linuxu 5.13.x i dalje 5.10.x novije dugoročne serije jezgara. Međutim, od 5.14 kao i za 3 starije dugoročne serije kernela navedene u dnevniku promjena
Ranije smo morali napraviti promjene kako bismo podržali te novije verzije kernela.
Što se tiče promjena koje se ističu u novoj verziji, ističe se da dodata podrška za razne CONFIG_SECCOMP postavke, kao i podršku za parametar kernela "nolkrg" za onemogućavanje LKRG-a prilikom pokretanja.
Što se tiče ispravki grešaka, to se spominje popravljen lažno pozitivan zbog stanja trke tokom obrade SECOMP_FILTER_FLAG_TSYNC, Osim toga, ispravljena je i podrška za CONFIG_HAVE_STATIC_CALL konfiguraciju u Linux kernelima 5.10+ (popravljeni uslovi trke prilikom preuzimanja drugih modula).
Uz to, zagarantovano je da su imena blokiranih modula kada se koristi lkrg.block_modules = 1 postavke sačuvana u registru.
Od ostalih promjena koji se ističu iz ove nove verzije:
- Implementirano postavljanje sysctl-settings u /etc/sysctl.d/01-lkrg.conf fajl
- Dodan konfiguracioni fajl dkms.conf za DKMS (Dynamic Kernel Module Support) sistem, koji se koristi za kreiranje modula treće strane nakon ažuriranja kernela.
- Poboljšana i ažurirana podrška za debug buildove i sisteme kontinuirane integracije.
Konačno ako vas zanima više Što se tiče projekta, trebate znati da se projektni kod distribuira pod GPLv2 licencom.
Za one koji su zainteresovani da mogu da instaliraju ovaj modul, važno je napomenuti da se zahtijeva direktorij za izgradnju kernela odgovara slici jezgre Linuxa u kojoj će se modul pokrenuti. Na primjer, na Debianu i Ubuntuu možete rukovati potrebnom infrastrukturom izgradnje samo instaliranjem linux-zaglavlja:
sudo apt-get install linux-headers-$(uname -r )
U slučaju distribucija, kao što su RHEL, Fedora ili distribucije zasnovane na njima, (pa čak i CentOS), paket koji treba instalirati je sljedeći:
sudo yum install kernel-devel
Da saznate više o tome kao i uputstva za sastavljanje možete pogledati informacije Na sledećem linku.