Το έργο Το Openwall κυκλοφόρησε την έκδοση του πυρήνα LKRG 0.8 (Linux Kernel Runtime Guard), σχεδιασμένο για τον εντοπισμό και τον αποκλεισμό επιθέσεων y παραβιάσεις της ακεραιότητας των βασικών δομών.
Η ενότητα Είναι κατάλληλο τόσο για την οργάνωση της προστασίας έναντι ήδη γνωστών εκμεταλλεύσεων για τον πυρήνα Linux (για παράδειγμα, σε περιπτώσεις όπου η ενημέρωση του πυρήνα στο σύστημα είναι προβληματική), Όσο για την αντίθεση εκμεταλλεύσεων για άγνωστα τρωτά σημεία.
Τι νέο υπάρχει LKRG 0.8;
Σε αυτήν τη νέα έκδοση η θέση του έργου LKRG έχει αλλάξει, τι ναΗ ώρα δεν χωρίζεται σε ξεχωριστά υποσυστήματα να επαληθεύσει την ακεραιότητα και να προσδιορίσει τη χρήση των εκμεταλλεύσεων, αλλά παρουσιάζεται ως πλήρες προϊόν για τον εντοπισμό επιθέσεων και παραβιάσεων ακεραιότητας ·
Όσον αφορά τη συμβατότητα, αυτής της νέας έκδοσης, μπορούμε να διαπιστώσουμε ότι είναι συμβατό με πυρήνες Linux από 5.3 έως 5.7καθώς και πυρήνες που έχουν δημιουργηθεί με επιθετικές βελτιστοποιήσεις GCC, χωρίς τις επιλογές CONFIG_USB και CONFIG_STACKTRACE ή με την επιλογή CONFIG_UNWINDER_ORCκαθώς και με πυρήνες όπου δεν υπάρχουν λειτουργίες που παρεμποδίζονται από το LKRG εάν μπορείτε να το κάνετε χωρίς.
Επιπρόσθετα με πειραματική υποστήριξη για πλατφόρμες ARM 32-bit (δοκιμάστηκε στο Raspberry Pi 3 Model B), ενώ για προηγούμενη διαθέσιμη υποστήριξη για AArch64 (ARM64) συμπληρώνεται από συμβατότητα με το Raspberry Pi 4.
Επιπλέον, προστέθηκαν νέα άγκιστρα, το οποίο περιλαμβάνει έναν χειριστή κλήσεων "hook ()" για τον καλύτερο εντοπισμό τρωτών σημείων που χειρίζονται οι "δυνατότητες" και όχι τα αναγνωριστικά επεξεργασίας.
Σε συστήματα x86-64, το bit SMAP ελέγχεται και εφαρμόζεται (Πρόληψη πρόσβασης σε λειτουργία επόπτη), δσχεδιασμένο για να αποκλείει την πρόσβαση σε δεδομένα στο χώρο του χρήστη από προνομιακό κώδικα που εκτελείται σε επίπεδο πυρήνα. Η προστασία SMEP (Supervisor Mode Exvention Prevention) εφαρμόστηκε νωρίτερα.
Έχει αυξημένη επεκτασιμότητα της βάσης δεδομένων παρακολούθησης διεργασιών: αντί για ένα μοναδικό δέντρο RB που προστατεύεται από ένα spinlock, εμπλέκεται ένας πίνακας κατακερματισμού από 512 δέντρα RB, που προστατεύεται από 512 κλειδώματα ανάγνωσης και εγγραφής, αντίστοιχα.
Εφαρμόζεται και ενεργοποιείται μια προεπιλεγμένη λειτουργία, στο οποίο τον έλεγχο ακεραιότητας των αναγνωριστικών Η επεξεργασία εκτελείται συχνά μόνο για την τρέχουσα εργασία, καθώς και προαιρετικά για ενεργοποιημένες εργασίες (αφύπνιση). Για άλλες εργασίες που βρίσκονται σε κατάσταση αναστολής ή που λειτουργούν χωρίς κλήση API πυρήνα ελεγχόμενου από LKRG, η επαλήθευση πραγματοποιείται λιγότερο συχνά.
Επιπρόσθετα με Το αρχείο μονάδας systemd έχει επανασχεδιαστεί για να φορτώσετε τη μονάδα LKRG σε πρώιμο στάδιο φόρτωσης (η επιλογή της γραμμής εντολών του πυρήνα μπορεί να χρησιμοποιηθεί για την απενεργοποίηση της μονάδας).
Κατά τη διάρκεια της σύνταξης, ορισμένες από τις υποχρεωτικές ρυθμίσεις του πυρήνα CONFIG_ * ελέγχθηκαν για τη δημιουργία σημαντικών μηνυμάτων σφάλματος αντί για σκοτεινά σφάλματα.
Από τις άλλες αλλαγές που ξεχωρίζουν σε αυτήν τη νέα έκδοση:
- Προστέθηκε υποστήριξη για λειτουργίες αναμονής (ACPI S3, Suspend to RAM) και Suspend (S4, Suspend to Disk).
- Προστέθηκε υποστήριξη για DKMS στο Makefile.
- Προτείνεται νέα λογική για τον προσδιορισμό των προσπαθειών για έξοδο από περιορισμούς χώρου ονομάτων (για παράδειγμα, από κοντέινερ Docker).
- Στη διαδικασία αυτή, η διαμόρφωση LKRG τοποθετείται σε μια σελίδα μνήμης, συνήθως μόνο για ανάγνωση.
- Η έξοδος στα αρχεία καταγραφής πληροφοριών που μπορεί να είναι πιο χρήσιμη για επιθέσεις (για παράδειγμα, πληροφορίες διεύθυνσης στον πυρήνα) περιορίζεται από τη λειτουργία εντοπισμού σφαλμάτων (log_level = 4 και υψηλότερη), η οποία είναι απενεργοποιημένη από προεπιλογή.
- Νέες παράμετροι sysctl και module έχουν προστεθεί στο συντονισμό του LKRG, καθώς και δύο sysctl για απλοποιημένη διαμόρφωση επιλέγοντας από προφίλ που προετοιμάστηκαν από προγραμματιστές.
- Οι προεπιλεγμένες ρυθμίσεις αλλάζουν για να επιτευχθεί μια πιο ισορροπημένη ισορροπία μεταξύ της ταχύτητας ανίχνευσης παραβίασης και της αποτελεσματικότητας της αντίδρασης, αφενός, και του αντίκτυπου στην παραγωγικότητα και του κινδύνου ψευδών θετικών από την άλλη.
- Σύμφωνα με τις βελτιστοποιήσεις που προτείνονται στη νέα έκδοση, η απόδοση απόδοσης κατά την εφαρμογή LKRG 0.8 εκτιμάται σε 2.5% στην προεπιλεγμένη λειτουργία ("βαριά") και 2% στη λειτουργία φωτισμού ("φως").
Εάν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε λεπτομέρειες εδώ.