El proyecto Openwall on julkaissut LKRG 0.8 -ydinmoduulin julkaisun (Linux Kernel Runtime Guard), suunniteltu havaitsemaan ja estämään hyökkäyksiä y ydinrakenteiden eheyden loukkaukset.
Moduuli se soveltuu sekä suojauksen järjestämiseen jo tunnettuja hyökkäyksiä vastaan Linux-ytimelle (esimerkiksi tilanteissa, joissa ytimen päivittäminen järjestelmässä on ongelmallista), tuntemattomien haavoittuvuuksien hyväksikäytön torjumiseksi.
Mitä uutta LKRG 0.8?
Tässä uudessa versiossa LKRG-projektin sijaintia on muutettu, setunti ei ole jaettu erillisiin osajärjestelmiin tarkistaa eheys ja määrittää hyödyntämisen käyttö, mutta se esitetään kokonaisena tuotteena tunnistaa hyökkäykset ja erilaiset eheysrikkomukset;
Uuden version yhteensopivuuden osalta voimme havaita, että se on yhteensopiva Linux-ytimien välillä 5.3 - 5.7samoin kuin ytimet, jotka on koottu aggressiiviseen GCC-optimointiin ilman vaihtoehtoja CONFIG_USB ja CONFIG_STACKTRACE tai vaihtoehdolla CONFIG_UNWINDER_ORCsamoin kuin ytimissä, joissa ei ole LKRG: n sieppaamia toimintoja, jos voit tehdä ilman.
Lisäksi kokeellinen tuki 32-bittisille ARM-alustoille (testattu Raspberry Pi 3 -mallilla B), kun taas aikaisemmin käytettävissä oleva tuki AArch64: lle (ARM64) täydentää yhteensopivuus Raspberry Pi 4: n kanssa.
Lisäksi, uudet koukut on lisätty, jotka sisältävät "koukku ()" -käsittelijän tunnistamaan paremmin heikkoudet, joita "kyvyt" käsittelevät, prosessitunnisteiden sijaan.
X86-64-järjestelmissä SMAP-bitti tarkistetaan ja sitä käytetään (Pääsyn estäminen esimiehetilassa), dsuunniteltu estämään pääsy tietoihin käyttäjän tilassa ytimen tasolla suoritetusta etuoikeutetusta koodista. SMEP (Supervisor Mode Execution Prevention) -suojaus otettiin käyttöön aiemmin.
Se on ollut prosessin seurantatietokannan lisääntynyt skaalautuvuusYksittäisen spinlockilla suojatun RB-puun sijasta on mukana 512 RB-puun hash-taulukko, jota suojaa vastaavasti 512 luku- ja kirjoituslukkoa;
Oletustila on otettu käyttöön ja otettu käyttöönmissä tunnisteiden eheystarkastus Käsittely suoritetaan usein vain nykyiselle tehtävälle ja valinnaisesti myös käynnistetyille tehtäville (herätä). Muille tehtäville, jotka ovat keskeytetyssä tilassa tai jotka toimivat ilman LKRG-ohjattua ytimen API-kutsua, vahvistus suoritetaan harvemmin.
Lisäksi systemd-yksikkötiedosto on uudistettu LKRG-moduulin lataaminen varhaisessa latausvaiheessa (ytimen komentorivivaihtoehtoa voidaan käyttää moduulin poistamiseen käytöstä);
Käännöksen aikana tarkistettiin joitakin pakollisia CONFIG_ * -ydinasetuksia tarkkojen virheilmoitusten luomiseksi hämärtyneiden virheiden sijaan.
Muista muutoksista, jotka erottuvat tässä uudessa versiossa:
- Lisätty tuki Valmiustila (ACPI S3, Suspend to RAM) ja Suspend (S4, Suspend to Disk) -tiloille.
- Lisätty tuki DKMS: lle Makefileen.
- Uutta logiikkaa ehdotetaan määrittämään yritykset päästä ulos nimiavaruusrajoituksista (esimerkiksi Docker-säilöistä).
- Prosessin aikana LKRG-kokoonpano sijoitetaan muistisivulle, yleensä vain luku -muodossa.
- Hyökkäysten kannalta hyödyllisimpien tietojen (esimerkiksi ytimen osoitetietojen) lokitiedostojen tulostusta rajoittaa virheenkorjaustila (log_level = 4 ja uudempi), joka on oletusarvoisesti pois käytöstä.
- LKRG: n virittämiseksi on lisätty uusia sysctl- ja moduuliparametreja sekä kaksi sysctl-tiedostoa yksinkertaistettua määritystä varten valitsemalla kehittäjien valmistelemista profiileista.
- Oletusasetuksia muutetaan tasapainoisemman tasapainon saavuttamiseksi rikkomusten havaitsemisen nopeuden ja reaktion tehokkuuden sekä toisaalta vaikutuksen tuottavuuteen ja väärän positiivisen riskin välillä.
- Uudessa versiossa ehdotettujen optimointien mukaan suorituskyvyn heikkenemisen käytettäessä LKRG 0.8: ta arvioidaan olevan 2.5% oletustilassa ("raskas") ja 2% kevyessä tilassa ("kevyt").
Jos haluat tietää enemmän siitä, voit ottaa yhteyttä yksityiskohdat täällä.