Proyek Openwall telah merilis rilis modul kernel LKRG 0.8 (Penjaga Waktu Proses Kernel Linux), dirancang untuk mendeteksi dan memblokir serangan y pelanggaran integritas struktur inti.
Modul itu cocok baik untuk mengatur perlindungan terhadap eksploitasi yang sudah diketahui untuk kernel Linux (misalnya, dalam situasi di mana memperbarui kernel pada sistem bermasalah), sebagai lawan eksploitasi untuk kerentanan yang tidak diketahui.
LKRG 0.8 baru apa?
Dalam versi baru ini posisi proyek LKRG telah diubah, untuk apajam tidak dibagi menjadi subsistem terpisah untuk memverifikasi integritas dan menentukan penggunaan eksploitasi, tetapi disajikan sebagai produk yang lengkap untuk mengidentifikasi serangan dan berbagai pelanggaran integritas;
Mengenai kompatibilitas, versi baru ini, kami dapat menemukan bahwa itu kompatibel dengan kernel Linux dari 5.3 hingga 5.7serta kernel yang dikompilasi dengan pengoptimalan GCC yang agresif, tanpa opsi CONFIG_USB dan CONFIG_STACKTRACE atau dengan opsi CONFIG_UNWINDER_ORCserta kernel di mana tidak ada fungsi yang dicegat oleh LKRG jika Anda bisa melakukannya tanpa.
Selain itu dukungan eksperimental untuk platform ARM 32-bit (diuji pada Raspberry Pi 3 Model B), sedangkan untuk dukungan yang lebih lama tersedia untuk AArch64 (ARM64) dilengkapi dengan kompatibilitas dengan Raspberry Pi 4.
Selain itu, kait baru telah ditambahkan, yang menyertakan penangan panggilan "hook ()" untuk lebih mengidentifikasi kerentanan yang dimanipulasi oleh "kemampuan", daripada pengidentifikasi proses.
Pada sistem x86-64, bit SMAP diperiksa dan diterapkan (Pencegahan akses dalam mode supervisor), ddirancang untuk memblokir akses ke data di ruang pengguna dari kode istimewa yang dieksekusi di tingkat kernel. Perlindungan SMEP (Supervisor Mode Execution Prevention) telah diimplementasikan lebih awal.
Telah peningkatan skalabilitas database pelacakan prosesAlih-alih satu pohon RB yang dilindungi oleh spinlock, tabel hash dari 512 pohon RB dilibatkan, masing-masing dilindungi oleh 512 kunci baca dan tulis;
Mode default diterapkan dan diaktifkan, di mana pemeriksaan integritas pengenal Pemrosesan sering dilakukan hanya untuk tugas saat ini, dan juga secara opsional untuk tugas yang dipicu (bangun). Untuk tugas lain yang berada dalam status ditangguhkan atau berfungsi tanpa panggilan API kernel yang dikontrol LKRG, verifikasi dilakukan lebih jarang.
Selain itu file unit systemd telah didesain ulang untuk memuat modul LKRG pada tahap awal pemuatan (opsi baris perintah kernel dapat digunakan untuk menonaktifkan modul);
Selama kompilasi, pemeriksaan dilakukan pada beberapa pengaturan kernel CONFIG_ * wajib untuk menghasilkan pesan kesalahan yang berarti daripada mengaburkan kesalahan.
Dari perubahan lain yang menonjol di versi baru ini:
- Menambahkan dukungan untuk mode Standby (ACPI S3, Suspend to RAM) dan Suspend (S4, Suspend to Disk).
- Menambahkan dukungan untuk DKMS di Makefile.
- Logika baru diusulkan untuk menentukan upaya untuk keluar dari batasan namespace (misalnya, dari container Docker).
- Dalam prosesnya, konfigurasi LKRG ditempatkan pada satu halaman memori, biasanya read-only.
- Output ke log informasi yang mungkin paling berguna untuk serangan (misalnya, informasi alamat di kernel) dibatasi oleh mode debug (log_level = 4 dan lebih tinggi), yang dinonaktifkan secara default.
- Parameter sysctl dan modul baru telah ditambahkan ke tune LKRG, serta dua sysctl untuk konfigurasi yang disederhanakan dengan memilih dari profil yang disiapkan oleh pengembang.
- Pengaturan default diubah untuk mencapai keseimbangan yang lebih seimbang antara kecepatan deteksi pelanggaran dan keefektifan reaksi, di satu sisi, dan dampak pada produktivitas dan risiko positif palsu di sisi lain.
- Menurut pengoptimalan yang diusulkan di versi baru, penurunan kinerja saat menerapkan LKRG 0.8 diperkirakan 2.5% dalam mode default ("berat") dan 2% dalam mode ringan ("ringan").
Jika Anda ingin tahu lebih banyak tentang itu, Anda bisa berkonsultasi detailnya di sini.