A projekt Az Openwall kiadta az LKRG 0.8 kernel modul kiadását (Linux Kernel Runtime Guard), támadások felderítésére és blokkolására tervezték y az alapszerkezetek integritásának megsértése.
A modul alkalmas mind a már ismert kihasználások elleni védelem megszervezésére a Linux kernel esetében (például olyan helyzetekben, amikor a rendszermag frissítése problémás) ami az ismeretlen sebezhetőségek kiaknázásának ellenzését illeti.
Mi az új LKRG 0.8?
Ebben az új verzióban az LKRG projekt helyzete megváltozott, mitóra nincs külön alrendszerekre osztva az integritás ellenőrzésére és a kihasználások meghatározására, teljes termékként kerül bemutatásra a támadások és az integritás különböző megsértésének azonosítása;
Ami az új verzió kompatibilitását illeti, megállapíthatjuk, hogy kompatibilis az 5.3 és 5.7 közötti Linux kernelekkel, valamint az agresszív GCC optimalizálással összeállított kernek, opciók nélkül CONFIG_USB és CONFIG_STACKTRACE vagy az opcióval CONFIG_UNWINDER_ORCvalamint olyan kernelekkel, ahol nincsenek az LKRG által elfogott funkciók, ha nélkülözheti.
Amellett, hogy a kísérleti támogatás 32 bites ARM platformokhoz (Raspberry Pi 3 B modellen tesztelve), míg az AArch64 (ARM64) korábbi elérhető támogatásához a Raspberry Pi 4 kompatibilitása egészíti ki.
Sőt, új kampók kerültek hozzá, amelyek egy "hook ()" híváskezelőt tartalmaznak a "képességek" által manipulált sebezhető pontok jobb azonosításához, nem pedig a folyamatazonosítókhoz.
X86-64 rendszereken ellenőrzik és alkalmazzák az SMAP biteket (A hozzáférés megakadályozása felügyeleti módban), dúgy tervezték, hogy blokkolja a felhasználói térben lévő adatokhoz való hozzáférést a rendszermag szintjén végrehajtott privilegizált kódtól. A SMEP (Supervisor Mode Execution Prevention) védelmet korábban megvalósították.
Akkor már a folyamatkövető adatbázis fokozott skálázhatósága: egyetlen spinblokk által védett RB fa helyett 512 RB fából álló hash tábla van bevonva, amelyet 512 olvasási és írási zár véd;
Alapértelmezett mód van bevezetve és engedélyezve, amiben az azonosítók integritásának ellenőrzése A feldolgozást gyakran csak az aktuális feladatra hajtják végre, és opcionálisan a kiváltott feladatokra is (ébredés). Felfüggesztett állapotú vagy LKRG által vezérelt kernel API-hívás nélkül működő egyéb feladatok esetében az ellenőrzést ritkábban hajtják végre.
Amellett, hogy a A systemd egységfájlt átalakítottuk az LKRG modul betöltése a betöltés korai szakaszában (a rendszermag parancssori opciója használható a modul letiltására);
A fordítás során a kötelező CONFIG_ * rendszermag-beállítások némelyikét értelmes hibaüzenetek generálása helyett homályos hibák ellenőrizték.
Az új verzióban kiemelkedő többi változás közül:
- Támogatás készenléti (ACPI S3, Felfüggesztés RAM-ra) és Felfüggesztés (S4, Felfüggesztés lemezre) módokhoz.
- Hozzáadott támogatás a DKMS-hez a Makefile-ban.
- Új logikát javasolnak annak meghatározására, hogy miként lehet kilépni a névtér korlátozásaiból (például a Docker-tárolókból).
- Ennek során az LKRG konfiguráció egy memóriaoldalra kerül, általában csak olvashatóan.
- A támadások szempontjából a leghasznosabb információk naplóinak kimenetét (például a kernelben található címadatokat) korlátozza a hibakeresési mód (log_szint = 4 és magasabb), amely alapértelmezés szerint le van tiltva.
- Új sysctl és modul paraméterek kerültek hozzá az LKRG hangolásához, valamint két sysctl az egyszerűbb konfiguráláshoz a fejlesztők által készített profilok közül választva.
- Az alapértelmezett beállítások megváltoznak, hogy kiegyensúlyozottabb egyensúly érhető el egyrészt a szabálysértések észlelésének sebessége és a reakció hatékonysága, másrészt a termelékenységre gyakorolt hatás és a hamis pozitív eredmények kockázata között.
- Az új változatban javasolt optimalizálások szerint a teljesítmény csökkenése az LKRG 0.8 alkalmazásakor az alapértelmezett üzemmódban ("nehéz") 2.5% -ra, míg a könnyű üzemmódban ("light") 2% -ra becsülhető.
Ha többet szeretne tudni róla, konzultálhat részletek itt.