Projektet Openwall afslørede for nylig lanceringen af den nye version af kernemodulet "LKRG 0.9.2" (Linux Kernel Runtime Guard) som er designet til at opdage og blokere angreb og krænkelser af integriteten af kernestrukturer.
LKRG understøtter i øjeblikket x86-64, x86 32-bit, AArch64 (ARM64) og ARM 32-bit
CPU-arkitekturer.
Om LKRG
Som nævnt er LKRG-moduletog er ansvarlig for at udføre et integritetstjek i Linux-kernens runtime og opdage sikkerhedssårbarheder eksploderer mod kernen. For eksempel kan modulet beskytte mod uautoriserede ændringer af den kørende kerne og forsøg på at ændre tilladelserne for brugerprocesser (ved at bestemme brugen af exploits).
Modulet er velegnet både til at organisere beskyttelse mod udnyttelse af allerede kendte sårbarheder i Linux-kernen (for eksempel i situationer, hvor det er svært at opdatere kernen på systemet) og til at imødegå udnyttelser af stadig ukendte sårbarheder.
Det skal forstås, at LKRG er et kernemodul (ikke en kerne-patch), så den kan kompileres og indlæses på en bred vifte af hoved- og distributionskerner, uden at nogen af dem skal lappes.
I øjeblikket har modulet understøttelse af kerneversioner lige fra RHEL7 (og dets mange kloner/revisioner) og Ubuntu 16.04 til de seneste mainline- og kernedistributioner.
De vigtigste nye funktioner i LKRG 0.9.2
I denne nye version, der præsenteres, nævner udviklerne, at lKompatibilitet er sikret med Linux-kerner 5.14 til 5.16-rc, samt med LTS-kernerne 5.4.118+, 4.19.191+ og 4.14.233+.
På tidspunktet for vores tidligere udgivelse, LKRG 0.9.1, var Linux 5.12.x sidste kerne. Vi var heldige, at det også fungerede som det er på Linux 5.13.x og videre 5.10.x nyere langsigtede seriekerner. Men pr. 5.14, som samt for 3 ældre langtidskerneserier opført i ændringsloggen
Tidligere var vi nødt til at foretage ændringer for at understøtte de nyere kerneversioner.
Vedrørende de ændringer, der skiller sig ud i den nye version, fremhæves det tilføjet understøttelse af forskellige CONFIG_SECCOMP-indstillinger, samt understøttelse af kerneparameteren "nolkrg" for at deaktivere LKRG ved opstart.
For den del af fejlrettelserne nævnes det rettet falsk positiv på grund af racetilstand under SECOMP_FILTER_FLAG_TSYNC-behandling, derudover blev understøttelsen af CONFIG_HAVE_STATIC_CALL-konfigurationen i Linux-kerner 5.10+ også rettet (faste race-forhold ved download af andre moduler).
Derudover er det garanteret, at navnene på de blokerede moduler ved brug af indstillingen lkrg.block_modules = 1 gemmes i registreringsdatabasen.
Af de andre ændringer der skiller sig ud fra denne nye version:
- Implementeret placering af sysctl-indstillinger i filen /etc/sysctl.d/01-lkrg.conf
- Tilføjet dkms.conf konfigurationsfil til DKMS (Dynamic Kernel Module Support) system, som bruges til at oprette tredjepartsmoduler efter en kerneopdatering.
- Forbedret og opdateret support til debug-builds og kontinuerlige integrationssystemer.
Endelig hvis du er interesseret i at vide mere Om projektet skal du vide, at projektkoden er distribueret under GPLv2-licensen.
For dem, der er interesseret i at kunne installere dette modul, er det vigtigt at nævne, at se kræver en kernebygningsmappe svarende til Linux-kernebilledet, som modulet skal køre i. For eksempel på Debian og Ubuntu kan du håndtere den nødvendige build-infrastruktur blot ved at installere linux-headerne:
sudo apt-get install linux-headers-$(uname -r )
I tilfælde af distributioner, såsom RHEL, Fedora eller distributioner baseret på disse (og endda CentOS), er pakken, der skal installeres, følgende:
sudo yum install kernel-devel
For at lære mere om det samt kompileringsvejledningen kan konsultere oplysningerne I det følgende link.