Projekt Openwall je nedavno predstavio lansiranje nova verzija modula kernela "LKRG 0.9.2" (Linux Kernel Runtime Guard) koji je dizajniran za otkrivanje i blokiranje napada i kršenja integriteta struktura kernela.
LKRG trenutno podržava x86-64, x86 32-bit, AArch64 (ARM64) i ARM 32-bit
CPU arhitekture.
O LKRG-u
Kao što je spomenuto LKRG modul si odgovoran je za izvođenje provjere integriteta u runtimeu Linux kernela i otkrivanje sigurnosnih ranjivosti eksplodira o jezgru. Na primjer, modul može zaštititi od neovlaštenih promjena pokrenute jezgre i pokušaja promijeniti dopuštenja korisničkih procesa (određivanjem korištenja exploit-a).
Modul je prikladan kako za organiziranje zaštite od iskorištavanja već poznatih ranjivosti u Linux kernelu (na primjer, u situacijama kada je teško ažurirati kernel na sustavu), tako i za suzbijanje eksploatacije još uvijek nepoznatih ranjivosti.
Treba razumjeti da LKRG je modul kernela (nije zakrpa kernela), tako da se može kompajlirati i učitavati na širok raspon glavnih i distribucijskih jezgri, bez potrebe da se bilo koji od njih zakrpi.
Trenutno je modul podržan za verzije kernela u rasponu od RHEL7 (i njegovih brojnih klonova/revizija) i Ubuntu 16.04 do najnovije glavne i jezgrene distribucije.
Glavne nove značajke LKRG 0.9.2
U ovoj novoj verziji koja je predstavljena, programeri spominju da lKompatibilnost je zajamčena s jezgrama Linuxa 5.14 do 5.16-rc, kao i s LTS kernelima 5.4.118+, 4.19.191+ i 4.14.233+.
U vrijeme našeg prethodnog izdanja, LKRG 0.9.1, Linux 5.12.x bio je posljednja jezgra. Imali smo sreću da je također radio kao što je na Linuxu 5.13.x i dalje 5.10.x novije dugoročne serije jezgri. Međutim, od 5.14, kao kao i za 3 starije dugoročne serije kernela navedene u dnevniku promjena
Ranije smo morali napraviti promjene kako bismo podržali te novije verzije kernela.
Što se tiče promjena koje se ističu u novoj verziji, ističe se da dodana podrška za razne postavke CONFIG_SECCOMP, kao i podrška za parametar kernela "nolkrg" za onemogućavanje LKRG-a prilikom pokretanja.
Za dio ispravki bugova spominje se da popravljen lažno pozitivan zbog stanja utrke tijekom obrade SECOMP_FILTER_FLAG_TSYNC, osim toga ispravljena je i podrška za konfiguraciju CONFIG_HAVE_STATIC_CALL u jezgri Linuxa 5.10+ (popravljeni uvjeti utrke pri preuzimanju drugih modula).
Osim toga, zajamčeno je da se nazivi blokiranih modula pri korištenju postavke lkrg.block_modules = 1 spremaju u registar.
Od ostalih promjena koji se ističu u ovoj novoj verziji:
- Implementirano postavljanje sysctl-settings u /etc/sysctl.d/01-lkrg.conf datoteku
- Dodana je konfiguracijska datoteka dkms.conf za DKMS (Dynamic Kernel Module Support) sustav, koji se koristi za stvaranje modula treće strane nakon ažuriranja kernela.
- Poboljšana i ažurirana podrška za debug buildove i sustave kontinuirane integracije.
Konačno ako vas zanima više Što se tiče projekta, trebate znati da se projektni kod distribuira pod GPLv2 licencom.
Za one koji su zainteresirani da mogu instalirati ovaj modul, važno je spomenuti da se zahtijeva direktorij za izgradnju kernela odgovara slici jezgre Linuxa u kojoj će se modul izvoditi. Na primjer, na Debianu i Ubuntuu možete rukovati potrebnom infrastrukturom izgradnje samo instaliranjem linux-zaglavlja:
sudo apt-get install linux-headers-$(uname -r )
U slučaju distribucija, kao što su RHEL, Fedora ili distribucije koje se temelje na njima, (pa čak i CentOS), paket za instalaciju je sljedeći:
sudo yum install kernel-devel
Da biste saznali više o tome kao i upute za sastavljanje mogu konzultirati informacije U sljedećem linku.