El proyecto Openwall ha recentemente svelato il lancio di la nuova versione del modulo del kernel "LKRG 0.9.2" (Linux Kernel Runtime Guard) progettato per rilevare e bloccare attacchi e violazioni dell'integrità delle strutture del kernel.
LKRG attualmente supporta x86-64, x86 a 32 bit, AArch64 (ARM64) e ARM a 32 bit
Architetture CPU.
A proposito di LKRG
Come accennato il modulo LKRG sed è responsabile dell'esecuzione di un controllo di integrità nel runtime del kernel Linux e del rilevamento delle vulnerabilità di sicurezza esplode contro il nocciolo. Ad esempio, il modulo può proteggere da modifiche non autorizzate al kernel in esecuzione e tenta di modificare i permessi dei processi utente (determinando l'uso di exploit).
Il modulo è adatto sia per organizzare la protezione contro exploit di vulnerabilità già note nel kernel Linux (ad esempio in situazioni in cui è difficile aggiornare il kernel sul sistema) sia per contrastare exploit di vulnerabilità ancora sconosciute.
Dovrebbe essere chiaro che LKRG è un modulo del kernel (non è una patch del kernel), quindi può essere compilato e caricato su un'ampia gamma di kernel principali e di distribuzione, senza la necessità di patch per nessuno di essi.
Attualmente, il modulo supporta le versioni del kernel che vanno da RHEL7 (e i suoi numerosi cloni/revisioni) e Ubuntu 16.04 alle ultime distribuzioni mainline e core.
Principali novità di LKRG 0.9.2
In questa nuova versione che viene presentata, gli sviluppatori affermano che lLa compatibilità è assicurata con i kernel Linux da 5.14 a 5.16-rc, così come con i kernel LTS 5.4.118+, 4.19.191+ e 4.14.233+.
Al momento della nostra versione precedente, LKRG 0.9.1, Linux 5.12.x era il ultimo nucleo. Siamo stati fortunati che ha funzionato anche su Linux 5.13.x e successivi 5.10.x core di serie a lungo termine più recenti. Tuttavia, a partire dal 5.14, come così come per 3 vecchie serie di kernel a lungo termine elencate nel changelog
In precedenza, dovevamo apportare modifiche per supportare quelle versioni del kernel più recenti.
Per quanto riguarda le modifiche che spiccano nella nuova versione, si evidenzia che aggiunto il supporto per varie impostazioni CONFIG_SECOMP, così come il supporto per il parametro del kernel "nolkrg" per disabilitare LKRG all'avvio.
Per la parte delle correzioni di bug, si dice che corretto falso positivo a causa di race condition durante l'elaborazione SECOMP_FILTER_FLAG_TSYNC, in aggiunta a ciò è stato corretto anche il supporto per la configurazione CONFIG_HAVE_STATIC_CALL nei kernel Linux 5.10+ (condizioni di gara fisse durante il download di altri moduli).
Inoltre, è garantito che i nomi dei moduli bloccati quando si utilizza l'impostazione lkrg.block_modules = 1 vengano salvati nel registro.
Delle altre modifiche che si distinguono da questa nuova versione:
- Posizionamento implementato delle impostazioni sysctl nel file /etc/sysctl.d/01-lkrg.conf
- Aggiunto il file di configurazione dkms.conf per il sistema DKMS (Dynamic Kernel Module Support), che viene utilizzato per creare moduli di terze parti dopo un aggiornamento del kernel.
- Supporto migliorato e aggiornato per build di debug e sistemi di integrazione continua.
Infine se sei interessato a saperne di più Riguardo al progetto, dovresti sapere che il codice del progetto è distribuito sotto la licenza GPLv2.
Per coloro che sono interessati a poter installare questo modulo, è importante ricordare che l'arte richiede una directory di build del kernel corrispondente all'immagine del kernel Linux in cui verrà eseguito il modulo. Ad esempio, su Debian e Ubuntu, puoi gestire l'infrastruttura di build richiesta semplicemente installando le intestazioni di linux:
sudo apt-get install linux-headers-$(uname -r )
Nel caso di distribuzioni, come RHEL, Fedora o distribuzioni basate su queste, (e anche CentOS), il pacchetto da installare è il seguente:
sudo yum install kernel-devel
Per saperne di più oltre alle istruzioni per la compilazione è possibile consultare l'informativa nel seguente link