El proyecto Openwall avalikustas hiljuti selle käivitamise kerneli mooduli uus versioon "LKRG 0.9.2" (Linux Kernel Runtime Guard), mis on loodud rünnakute ja tuumastruktuuride terviklikkuse rikkumiste tuvastamiseks ja blokeerimiseks.
LKRG toetab praegu x86-64, x86 32-bitist, AArch64 (ARM64) ja ARM 32-bitist
CPU arhitektuurid.
LKRG kohta
Nagu mainitud, LKRG moodul sja vastutab Linuxi kerneli käitusaja terviklikkuse kontrollimise ja turvaaukude tuvastamise eest plahvatab vastu tuuma. Näiteks võib moodul kaitsta töötava kerneli volitamata muudatuste ja kasutajaprotsesside lubade muutmise katsete eest (määrates ära äkituste kasutamise).
Moodul sobib nii Linuxi tuumas juba teadaolevate turvaaukude ärakasutamise eest kaitsmise korraldamiseks (näiteks olukordades, kus kerneli uuendamine süsteemis on keeruline) kui ka veel tundmatute turvaaukude ärakasutamiste vastu.
Tuleb aru saada, et LKRG on kerneli moodul (mitte kerneli paigad), nii et seda saab kompileerida ja laadida paljudele peamistele ja levitatavatele tuumadele, ilma et oleks vaja ühtegi neist parandada.
Praegu toetab moodul kerneli versioone alates RHEL7-st (ja selle paljudest kloonidest/versioonidest) ja Ubuntu 16.04-st kuni uusimate põhi- ja põhidistributsioonideni.
LKRG 0.9.2 peamised uued funktsioonid
Selles esitletavas uues versioonis mainivad arendajad, et lÜhilduvus on tagatud Linuxi tuumadega 5.14 kuni 5.16-rc, samuti LTS-i tuumadega 5.4.118+, 4.19.191+ ja 4.14.233+.
Meie eelmise väljaande ajal oli LKRG 0.9.1, Linux 5.12.x viimane tuum. Meil vedas, et see töötas nii nagu Linux 5.13.x ja edasi 5.10.x uuemad pikaajalise seeria tuumad. Samas seisuga 5.14 as samuti 3 vanema pikaajalise kerneli seeria jaoks, mis on loetletud muudatuste logis
Varem pidime nende uuemate kerneli versioonide toetamiseks tegema muudatusi.
Seoses muudatustega, mis uues versioonis silma paistavad, rõhutatakse, et lisatud tugi erinevatele CONFIG_SECCOMP seadetele, samuti tuge tuuma parameetrile "nolkrg", et keelata LKRG alglaadimise ajal.
Veaparanduste osas mainitakse, et SECOMP_FILTER_FLAG_TSYNC töötlemise käigus fikseeritud valepositiivne, mis on tingitud võistlustingimustest, Lisaks parandati ka konfiguratsiooni CONFIG_HAVE_STATIC_CALL tuge Linuxi tuumades 5.10+ (parandatud võistlustingimused muude moodulite allalaadimisel).
Lisaks on garanteeritud, et lkrg.block_modules = 1 seadistuse kasutamisel blokeeritud moodulite nimed salvestatakse registrisse.
Muudest muudatustest mis eristuvad sellest uuest versioonist:
- Rakendatud sysctl-sätete paigutus failis /etc/sysctl.d/01-lkrg.conf
- Lisatud on DKMS-i (Dynamic Kernel Module Support) süsteemi konfiguratsioonifail dkms.conf, mida kasutatakse pärast tuuma värskendust kolmanda osapoole moodulite loomiseks.
- Täiustatud ja värskendatud tugi silumisjärkudele ja pidevatele integreerimissüsteemidele.
Lõpuks kui olete huvitatud rohkematest teadmistest Projekti kohta peaksite teadma, et projekti koodi levitatakse GPLv2 litsentsi all.
Neile, kes on huvitatud selle mooduli installimise võimalusest, on oluline mainida, et se nõuab kerneli ehituskataloogi mis vastab Linuxi kerneli kujutisele, milles moodul töötab. Näiteks Debiani ja Ubuntu puhul saate vajaliku ehitustaristuga hakkama lihtsalt linuxi päiste installimisega:
sudo apt-get install linux-headers-$(uname -r )
Distributsioonide, nagu RHEL, Fedora või nendel põhinevate distributsioonide (ja isegi CentOS) puhul on installitav pakett järgmine:
sudo yum install kernel-devel
Selle kohta lisateabe saamiseks samuti koostamise juhised saate tutvuda teabega Järgmisel lingil.