El proyecto Openwall on välja andnud LKRG 0.8 kerneli mooduli väljaande (Linuxi kerneli käituse valvur), mõeldud rünnakute avastamiseks ja blokeerimiseks y põhistruktuuride terviklikkuse rikkumised.
mooduli see sobib nii kaitse korraldamiseks juba teadaolevate ekspluateerimiste eest Linuxi tuuma jaoks (näiteks olukordades, kus süsteemi tuuma värskendamine on problemaatiline), mis puudutab tundmatute haavatavuste kasutamist.
Mida uut LKRG 0.8?
Selles uues versioonis LKRG projekti positsioneerimist on muudetud, mida tehatund ei ole jaotatud eraldi alamsüsteemideks kontrollida terviklikkust ja määrata kindlaks ekspluateerimise kasutus, kuid seda esitletakse terviktootena tuvastada rünnakud ja erinevad terviklikkuse rikkumised;
Mis puutub selle uue versiooni ühilduvusse, siis võime leida, et see ühildub Linuxi tuumadega vahemikus 5.3 kuni 5.7samuti agressiivse GCC optimeerimisega kompileeritud tuumad ilma valikuteta CONFIG_USB ja CONFIG_STACKTRACE või valikuga CONFIG_UNWINDER_ORCkui ka tuumadega, kus LKRG ei ole vahele võtnud ühtegi funktsiooni, kui saate ilma hakkama.
Lisaks eksperimentaalne tugi 32-bitistele ARM-platvormidele (testitud Raspberry Pi 3 mudelil B), samas kui AArch64 (ARM64) varasem saadavalolev tugi on täiendatud ühilduvusega Raspberry Pi 4-ga.
Lisaks uued konksud on lisatud, mis sisaldab "hook ()" kõnehaldurit, et paremini tuvastada haavatavusi, mida "võimalused" manipuleerivad, mitte protsessitunnuseid.
X86-64 süsteemides kontrollitakse ja rakendatakse SMAP-bitti (Juurdepääsu takistamine järelevaataja režiimis), dmõeldud blokeerima juurdepääsu kasutajaruumis olevatele andmetele tuuma tasandil käivitatud privilegeeritud koodilt. SMEP (Supervisor Mode Execution Prevention) kaitse rakendati varem.
See on olnud protsessi jälgimise andmebaasi suurem skaleeritavus: spinlockiga kaitstud ühe RB puu asemel on kaasatud 512 RB puust räsitabel, mida kaitseb vastavalt 512 lugemis- ja kirjutamislukku;
Vaikerežiim on rakendatud ja lubatud, milles identifikaatorite terviklikkuse kontroll Töötlemine toimub sageli ainult praeguse ülesande jaoks ja valikuliselt ka käivitatud ülesannete jaoks (ärkamine). Muude ülesannete puhul, mis on peatatud olekus või mis toimivad ilma LKRG-i juhitava kerneli API-kõneta, kontrollitakse harvemini.
Lisaks systemd üksuse fail on ümber kujundatud LKRG mooduli laadimiseks laadimise varases staadiumis (mooduli keelamiseks saab kasutada kerneli käsureavalikut);
Kompileerimise käigus kontrolliti mõningaid kohustuslikke kerneli CONFIG_ * seadeid, et tekitada sisulisi veateateid, mitte vigu.
Muudest muudatustest, mis selles uues versioonis silma paistavad:
- Lisatud tugi ooterežiimile (ACPI S3, peatamine RAM-ile) ja peatamise (S4, peatamine kettale) režiimidele.
- Lisati Makefile DKMS-i tugi.
- Välja pakutakse uus loogika, et selgitada välja katsed nimeruumi piirangutest vabaneda (näiteks Dockeri konteineritest).
- Selle käigus paigutatakse LKRG konfiguratsioon mälulehele, tavaliselt ainult kirjutuskaitstud.
- Rünnakutest kõige kasulikuma teabe (näiteks tuuma aadressiteabe) logide väljund on piiratud silumisrežiimiga (log_level = 4 ja kõrgem), mis on vaikimisi keelatud.
- LKRG häälestamiseks on lisatud uued sysctl ja mooduli parameetrid, samuti kaks sysctl lihtsustatud seadistamiseks, valides arendajate ettevalmistatud profiilide hulgast.
- Vaikimisi sätteid muudetakse, et saavutada tasakaalustatum tasakaal ühelt poolt rikkumiste tuvastamise kiiruse ja reageerimise efektiivsuse ning teiselt poolt mõju tootlikkusele ja valepositiivide ohu vahel.
- Uues versioonis pakutud optimeerimiste kohaselt on LKRG 0.8 rakendamisel jõudluse langus hinnanguliselt vaikerežiimis 2.5% ja valgusrežiimis 2%.
Kui soovite selle kohta rohkem teada saada, võite nõu pidada üksikasjad siin.