Το έργο Η Openwall ανακοίνωσε πρόσφατα την κυκλοφορία του τη νέα έκδοση της μονάδας πυρήνα «LKRG 0.9.2» (Linux Kernel Runtime Guard) που έχει σχεδιαστεί για να ανιχνεύει και να αποκλείει επιθέσεις και παραβιάσεις της ακεραιότητας των δομών του πυρήνα.
Το LKRG υποστηρίζει επί του παρόντος x86-64, x86 32-bit, AArch64 (ARM64) και ARM 32-bit
Αρχιτεκτονικές CPU.
Σχετικά με το L.K.R.G.
Όπως αναφέρθηκε η ενότητα LKRG sΕίναι υπεύθυνο για την εκτέλεση ενός ελέγχου ακεραιότητας στο χρόνο εκτέλεσης του πυρήνα του Linux και τον εντοπισμό τρωτών σημείων ασφαλείας. εκρήγνυται ενάντια στον πυρήνα. Για παράδειγμα, η λειτουργική μονάδα μπορεί να προστατεύει από μη εξουσιοδοτημένες αλλαγές στον τρέχοντα πυρήνα και από προσπάθειες αλλαγής των δικαιωμάτων των διεργασιών χρήστη (καθορίζοντας τη χρήση εκμεταλλεύσεων).
Η ενότητα είναι κατάλληλη τόσο για την οργάνωση προστασίας από εκμεταλλεύσεις ήδη γνωστών τρωτών σημείων στον πυρήνα του Linux (για παράδειγμα, σε καταστάσεις όπου είναι δύσκολο να ενημερώσετε τον πυρήνα στο σύστημα) όσο και για την αντιμετώπιση εκμεταλλεύσεων άγνωστων ακόμη τρωτών σημείων.
Πρέπει να γίνει κατανοητό ότι το LKRG είναι μια ενότητα πυρήνα (όχι μια ενημερωμένη έκδοση κώδικα πυρήνα), ώστε να μπορεί να μεταγλωττιστεί και να φορτωθεί σε ένα ευρύ φάσμα βασικών πυρήνων και πυρήνων διανομής, χωρίς να χρειάζεται να επιδιορθωθεί κανένας από αυτούς.
Επί του παρόντος, η ενότητα υποστηρίζεται για εκδόσεις πυρήνα που κυμαίνονται από το RHEL7 (και τους πολλούς κλώνους/αναθεωρήσεις του) και το Ubuntu 16.04 έως τις πιο πρόσφατες διανομές κύριας γραμμής και πυρήνα.
Κύρια νέα χαρακτηριστικά του LKRG 0.9.2
Σε αυτή τη νέα έκδοση που παρουσιάζεται, οι προγραμματιστές αναφέρουν ότι το lΗ συμβατότητα διασφαλίζεται με πυρήνες Linux 5.14 έως 5.16-rc, καθώς και πυρήνες LTS 5.4.118+, 4.19.191+ και 4.14.233+.
Την εποχή της προηγούμενης κυκλοφορίας μας, το LKRG 0.9.1, το Linux 5.12.x ήταν το τελευταίος πυρήνας. Ήμασταν τυχεροί που λειτούργησε και εκτός συσκευασίας σε Linux 5.13.x και σε νεότεροι μακροπρόθεσμοι πυρήνες της σειράς 5.10.x. Ωστόσο, από τις 5.14, όπως καθώς και για 3 παλαιότερες μακροπρόθεσμες σειρές πυρήνων που αναφέρονται στο changelog
παραπάνω, έπρεπε να κάνουμε αλλαγές για να υποστηρίξουμε αυτές τις νεότερες εκδόσεις πυρήνα.
Όσον αφορά τις αλλαγές που ξεχωρίζουν στη νέα έκδοση, επισημαίνεται ότι πρόσθεσε υποστήριξη για διάφορες ρυθμίσεις CONFIG_SECCOMP, καθώς και υποστήριξη για την παράμετρο πυρήνα "nolkrg" για την απενεργοποίηση του LKRG κατά την εκκίνηση.
Από την πλευρά των διορθώσεων σφαλμάτων αναφέρεται ότι διόρθωσε ένα ψευδώς θετικό λόγω συνθήκης αγώνα κατά την επεξεργασία SECOMP_FILTER_FLAG_TSYNC, Διορθώθηκε επίσης η υποστήριξη για τη ρύθμιση CONFIG_HAVE_STATIC_CALL σε πυρήνες Linux 5.10+ (διορθώθηκαν οι συνθήκες αγώνα κατά τη λήψη άλλων λειτουργικών μονάδων).
Επιπλέον, είναι εγγυημένο ότι τα ονόματα των μονάδων που έχουν αποκλειστεί κατά τη χρήση της ρύθμισης lkrg.block_modules=1 αποθηκεύονται στο μητρώο.
Από τις άλλες αλλαγές που ξεχωρίζουν από αυτήν τη νέα έκδοση:
- Υλοποιήθηκε η τοποθέτηση των ρυθμίσεων sysctl στο αρχείο /etc/sysctl.d/01-lkrg.conf
- Προστέθηκε το αρχείο διαμόρφωσης dkms.conf για το σύστημα DKMS (Dynamic Kernel Module Support), το οποίο χρησιμοποιείται για τη δημιουργία λειτουργικών μονάδων τρίτου κατασκευαστή μετά από αναβάθμιση του πυρήνα.
- Βελτιωμένη και ενημερωμένη υποστήριξη για εκδόσεις εντοπισμού σφαλμάτων και συστήματα συνεχούς ενοποίησης.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με το έργο, θα πρέπει να γνωρίζετε ότι ο κωδικός του έργου διανέμεται με την άδεια GPLv2.
Για όσους ενδιαφέρονται να μπορούν να εγκαταστήσουν αυτήν την ενότητα, είναι σημαντικό να αναφέρουν ότι το sΤο e απαιτεί έναν κατάλογο κατασκευής πυρήνα που αντιστοιχεί στην εικόνα του πυρήνα του Linux στην οποία θα εκτελείται η λειτουργική μονάδα. Για παράδειγμα, στο Debian και στο Ubuntu, μπορείτε να αποκτήσετε την απαιτούμενη υποδομή κατασκευής απλώς εγκαθιστώντας τις κεφαλίδες του linux:
sudo apt-get install linux-headers-$(uname -r )
Στην περίπτωση διανομών, όπως RHEL, Fedora ή διανομών που βασίζονται σε αυτά, (ακόμα και CentOS), το πακέτο που πρέπει να εγκατασταθεί είναι το εξής:
sudo yum install kernel-devel
Για να μάθετε περισσότερα για αυτό καθώς και τις οδηγίες σύνταξης μπορείτε να συμβουλευτείτε τις πληροφορίες Στον ακόλουθο σύνδεσμο.