El Proyecto Openwall nedávno odhalil spuštění nová verze modulu jádra "LKRG 0.9.2" (Linux Kernel Runtime Guard), který je určen k detekci a blokování útoků a narušení integrity struktur jádra.
LKRG aktuálně podporuje x86-64, x86 32-bit, AArch64 (ARM64) a ARM 32-bit
architektury CPU.
O LKRG
Jak již bylo zmíněno, modul LKRG sa je odpovědný za provádění kontroly integrity v běhovém prostředí linuxového jádra a zjišťování slabých míst zabezpečení exploduje proti jádru. Modul může například chránit před neoprávněnými změnami běžícího jádra a pokusy o změnu oprávnění uživatelských procesů (určením použití exploitů).
Modul je vhodný jak pro organizaci ochrany proti exploitům již známých zranitelností v jádře Linuxu (například v situacích, kdy je obtížné aktualizovat jádro v systému), tak pro boj proti exploitům dosud neznámých zranitelností.
Je třeba si uvědomit, že LKRG je modul jádra (nejedná se o záplatu jádra), takže jej lze zkompilovat a načíst na širokou škálu hlavních a distribučních jader, aniž by bylo nutné některé z nich opravovat.
V současné době má modul podporu pro verze jádra od RHEL7 (a jeho mnoha klonů / revizí) a Ubuntu 16.04 až po nejnovější hlavní a základní distribuce.
Hlavní nové funkce LKRG 0.9.2
V této nové verzi, která je představena, vývojáři zmiňují, že lKompatibilita je zajištěna s linuxovými jádry 5.14 až 5.16-rc, stejně jako s jádry LTS 5.4.118+, 4.19.191+ a 4.14.233+.
V době našeho předchozího vydání byl LKRG 0.9.1, Linux 5.12.x poslední jádro. Měli jsme štěstí, že to také fungovalo na Linuxu 5.13.xa dále 5.10.x novější jádra dlouhodobé řady. Nicméně k 5.14 stejně jako u 3 starších dlouhodobých řad jader uvedených v changelogu
Dříve jsme museli provést změny, abychom podporovali tyto novější verze jádra.
Pokud jde o změny, které vynikají v nové verzi, je třeba zdůraznit, že přidána podpora pro různá nastavení CONFIG_SECCOMP, stejně jako podpora pro parametr jádra "nolkrg" pro deaktivaci LKRG při bootování.
U části oprav chyb je zmíněno, že opraveno falešně pozitivní z důvodu sporu během zpracování SECOMP_FILTER_FLAG_TSYNC, kromě toho byla také opravena podpora konfigurace CONFIG_HAVE_STATIC_CALL v linuxových jádrech 5.10+ (opraveny race conditions při stahování dalších modulů).
Navíc je zaručeno, že názvy blokovaných modulů při použití nastavení lkrg.block_modules = 1 jsou uloženy v registru.
Z dalších změn které vyčnívají z této nové verze:
- Implementováno umístění nastavení sysctl do souboru /etc/sysctl.d/01-lkrg.conf
- Přidán konfigurační soubor dkms.conf pro systém DKMS (Dynamic Kernel Module Support), který se používá k vytváření modulů třetích stran po aktualizaci jádra.
- Vylepšená a aktualizovaná podpora pro sestavení ladění a systémy průběžné integrace.
Konečně pokud máte zájem dozvědět se více O projektu byste měli vědět, že kód projektu je distribuován pod licencí GPLv2.
Pro ty, kteří mají zájem si tento modul nainstalovat, je důležité zmínit, že se vyžaduje adresář pro sestavení jádra odpovídající obrazu linuxového jádra, ve kterém modul poběží. Například na Debianu a Ubuntu můžete požadovanou infrastrukturu sestavení zpracovat pouze instalací linuxových hlaviček:
sudo apt-get install linux-headers-$(uname -r )
V případě distribucí, jako je RHEL, Fedora nebo distribucí na nich založených (a dokonce i CentOS), je balíček k instalaci následující:
sudo yum install kernel-devel
Chcete-li se o tom dozvědět více stejně jako pokyny ke kompilaci mohou konzultovat informace Na následujícím odkazu.