LKRG, un mòdul dissenyat per detectar i bloquejar atacs i violacions en el nucli de Linux

Darkcrizt

4 minuts

El Projecte Openwall ha publicat el llançament de la lliçó de l'nucli LKRG 0.8 (Linux Kernel Runtime Guard), dissenyat per detectar i bloquejar atacs y violacions de la integritat de les estructures de l'nucli.

el mòdul és adequat tant per a organitzar la protecció contra gestes ja coneguts per al nucli de Linux (per exemple, en situacions on és problemàtic actualitzar el nucli en el sistema), com per gestes oposats per vulnerabilitats desconegudes.

Què hi ha de nou LKRG 0.8?

En aquesta nova versió s'ha canviat el posicionament de el projecte LKRG, Que ahora no es divideix en subsistemes separats per verificar la integritat i determinar l'ús de gestes, sinó que es presenta com un producte complet per identificar atacs i diverses violacions d'integritat;

Quant a la compatibilitat, d'aquesta nova versió, podrem trobar que és compatible amb els nuclis de Linux de 5.3 a 5.7, Així com amb els nuclis compilats amb optimitzacions agressives de GCC, sense les opcions CONFIG_USB i CONFIG_STACKTRACE o amb l'opció CONFIG_UNWINDER_ORC, Així com amb els nuclis en els quals no hi ha funcions interceptades per LKRG si pot prescindir.

A més de que es va afegir el suport experimental per a plataformes ARM de 32 bits (Provat en Raspberry Pi 3 Model B), mentre que per al suport disponible anterior per AArch64 (ARM64) es complementa amb la compatibilitat amb Raspberry Pi abril.

D'altra banda, s'han agregat nous ganxos, Que inclouen un gestor de trucades «hook ()» per identificar millor les vulnerabilitats que manipulen les «capabilities», en lloc dels identificadors de procés.

En els sistemes x86-64, es verifica i aplica el bit SMAP (Prevenció d'accés en mode supervisor), diseñado per bloquejar l'accés a les dades en l'espai de l'usuari des del codi privilegiat executat a nivell de l'nucli. Protecció SMEP (supervisor Mode Execution Prevention) es va implementar anteriorment.

s'ha augmentat l'escalabilitat de la base de dades de seguiment de processos: En lloc d'un sol arbre RB protegit per un spinlock, està involucrada una taula hash de 512 arbres RB, protegida per 512 bloquejos de lectura i escriptura, respectivament;

S'implementa i habilita un mode per defecte, En el qual la verificació d'integritat dels identificadors de procés sovint es realitza només per a la tasca actual, i també opcionalment per a les tasques activades (despertar). Per altres tasques que estan en estat de suspensió o que funcionen sense una crida a l'API de el nucli controlada pel LKRG, la verificació es realitza amb menys freqüència.

A més de que el arxiu de la unitat systemd s'ha redissenyat per carregar el mòdul LKRG en una etapa primerenca de càrrega (l'opció de línia d'ordres de l'nucli es pot utilitzar per desactivar el mòdul);

Durant la compilació, es va realitzar una comprovació d'algunes de les configuracions obligatòries de l'nucli CONFIG_ * per generar missatges d'error significatius en lloc de falles poc clares.

Dels altres canvis que es destaquen d'aquesta nova versió:

  • Suport agregat per les maneres d'espera (ACPI S3, suspensió a RAM) i suspensió (S4, suspensió a disc).
  • Suport agregat per DKMS en el Makefile.
  • Es proposa una nova lògica per determinar els intents de sortir de les restriccions d'espai de noms (per exemple, dels contenidors Docker).
  • En el procés, la configuració de LKRG es col·loca en una pàgina de memòria, generalment només de lectura.
  • La sortida als registres d'informació que poden ser més útils per a atacs (per exemple, informació sobre adreces en el nucli) està limitada per la manera de depuració (log_level = 4 i superior), que està deshabilitat per omissió.
  • Es van agregar nous paràmetres de sysctl i mòdul per ajustar LKRG, així com dos sysctl per a una configuració simplificada triant entre els perfils preparats pels desenvolupadors.
  • L'opció per defecte es canvia per aconseguir un equilibri més equilibrat entre la velocitat de detecció de violacions i l'efectivitat de la reacció, d'una banda, i l'impacte en la productivitat i el risc de falsos positius per l'altre.
  • Segons les optimitzacions proposades en la nova versió, la disminució de l'rendiment a l'aplicar LKRG 0.8 s'estima en 2.5% en la manera predeterminat ( «pesat») i 2% en la manera lleuger ( «lleuger»).

Si vols conèixer més la qüestió, pots consultar els detalls aquí. 


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.