LKRG, un modulo progettato per rilevare e bloccare attacchi e violazioni nel kernel Linux

Darkcrizt

4 minuti

El proyecto Openwall ha rilasciato la versione del modulo del kernel LKRG 0.8 (Guardia runtime del kernel Linux), progettato per rilevare e bloccare gli attacchi y violazioni dell'integrità delle strutture centrali.

Il modulo è adatto sia per organizzare protezione contro exploit già noti per il kernel Linux (ad esempio, in situazioni in cui l'aggiornamento del kernel sul sistema è problematico), per quanto riguarda l'opposizione agli exploit per vulnerabilità sconosciute.

Cosa c'è di nuovo LKRG 0.8?

In questa nuova versione il posizionamento del progetto LKRG è stato modificato, cosa al'ora non è suddivisa in sottosistemi separati per verificare l'integrità e determinare l'uso di exploit, ma si presenta come un prodotto completo identificare attacchi e varie violazioni dell'integrità;

Per quanto riguarda la compatibilità, di questa nuova versione, possiamo scoprire che è compatibile con i kernel Linux da 5.3 a 5.7così come i kernel compilati con ottimizzazioni GCC aggressive, senza le opzioni CONFIG_USB e CONFIG_STACKTRACE o con l'opzione CONFIG_UNWINDER_ORCcosì come con i kernel dove non ci sono funzioni intercettate da LKRG se puoi farne a meno.

In aggiunta a supporto sperimentale per piattaforme ARM a 32 bit (testato su Raspberry Pi 3 Model B), mentre per il supporto precedente disponibile per AArch64 (ARM64) è completato dalla compatibilità con Raspberry Pi 4.

Inoltre, sono stati aggiunti nuovi ganci, che includono un gestore di chiamate "hook ()" per identificare meglio le vulnerabilità che vengono manipolate da "capacità", piuttosto che da identificatori di processo.

Sui sistemi x86-64, il bit SMAP viene controllato e applicato (Prevenzione dell'accesso in modalità supervisore), dprogettato per bloccare l'accesso ai dati nello spazio utente da codice privilegiato eseguito a livello di kernel. La protezione SMEP (Supervisor Mode Execution Prevention) è stata implementata in precedenza.

ha maggiore scalabilità del database di tracciamento del processo: invece di un singolo albero RB protetto da uno spinlock, è coinvolta una tabella hash di 512 alberi RB, protetti rispettivamente da 512 blocchi di lettura e scrittura;

Viene implementata e abilitata una modalità predefinitaIn cui il controllo dell'integrità degli identificatori L'elaborazione viene spesso eseguita solo per l'attività corrente e, facoltativamente, anche per le attività attivate (attivazione). Per altre attività che si trovano in uno stato sospeso o che funzionano senza una chiamata API del kernel controllata da LKRG, la verifica viene eseguita meno frequentemente.

In aggiunta a Il file di unità systemd è stato riprogettato caricare il modulo LKRG in una fase iniziale del caricamento (l'opzione della riga di comando del kernel può essere utilizzata per disabilitare il modulo);

Durante la compilazione, alcune delle impostazioni del kernel CONFIG_ * obbligatorie sono state controllate per generare messaggi di errore significativi piuttosto che errori oscuri.

Tra le altre modifiche che si distinguono in questa nuova versione:

  • Aggiunto supporto per le modalità Standby (ACPI S3, Suspend to RAM) e Suspend (S4, Suspend to Disk).
  • Aggiunto supporto per DKMS nel Makefile.
  • Viene proposta una nuova logica per determinare i tentativi di uscire dalle restrizioni dello spazio dei nomi (ad esempio, dai contenitori Docker).
  • Nel processo, la configurazione di LKRG viene posizionata su una pagina di memoria, solitamente di sola lettura.
  • L'output nei log delle informazioni che possono essere più utili per gli attacchi (ad esempio, le informazioni sull'indirizzo nel kernel) è limitato dalla modalità di debug (log_level = 4 e superiore), che è disabilitata per impostazione predefinita.
  • Sono stati aggiunti nuovi parametri sysctl e modulo per ottimizzare LKRG, oltre a due sysctl per una configurazione semplificata scegliendo tra i profili preparati dagli sviluppatori.
  • Le impostazioni predefinite vengono modificate per ottenere un equilibrio più equilibrato tra la velocità di rilevamento della violazione e l'efficacia della reazione, da un lato, e l'impatto sulla produttività e il rischio di falsi positivi dall'altro.
  • Secondo le ottimizzazioni proposte nella nuova versione, il calo delle prestazioni quando si applica LKRG 0.8 è stimato al 2.5% in modalità predefinita ("pesante") e al 2% in modalità leggera ("leggera").

Se vuoi saperne di più, puoi consultare dettagli qui. 


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.