LKRG 0.9.2はすでにリリースされており、これらはそのニュースです

Darkcrizt

4分

プロジェクト Openwall は最近、 カーネルモジュールの新しいバージョン «LKRG0.9.2» (Linux Kernel Runtime Guard) は、カーネル構造の整​​合性に対する攻撃や違反を検出してブロックするように設計されています。

LKRG は現在、x86-64、x86 32 ビット、AArch64 (ARM64)、および ARM 32 ビットをサポートしています。
CPU アーキテクチャ。

L.K.R.Gについて

前述したように、LKRG モジュールLinux カーネル ランタイムの整合性チェックを実行し、セキュリティの脆弱性を検出する役割を果たします。 カーネルに対して爆発します。 たとえば、このモジュールは、実行中のカーネルへの不正な変更や、(エクスプロイトの使用を判断することによって) ユーザー プロセスの権限を変更しようとする試みから保護できます。

このモジュールは、Linux カーネルの既知の脆弱性の悪用に対する保護を組織する場合 (たとえば、システム上のカーネルを更新することが難しい状況など) と、まだ未知の脆弱性の悪用に対抗する場合の両方に適しています。

LKRG を理解する必要があります。 カーネルモジュールです (カーネル パッチではありません) そのため、パッチを適用する必要がなく、幅広いメジャー カーネルやディストリビューション カーネルでコンパイルしてロードできます。

現在、このモジュールは、RHEL7 (およびその多くのクローン/リビジョン) および Ubuntu 16.04 から最新のメインラインおよびカーネル ディストリビューションまでのカーネル バージョンでサポートされています。

LKRG0.9.2の主な新機能

発表されたこの新しいバージョンでは、開発者は次のように述べています。Linux カーネル 5.14 ~ 5.16-rc との互換性が保証されています。 LTS カーネル 5.4.118+、4.19.191+、および 4.14.233+ も同様です。

前回のリリースの時点では、LKRG 0.9.1、Linux 5.12.x が 最後のコア。 幸運だったのは、Linux 5.13.x 以降でもすぐに使用できることです。 新しい長期的な 5.10.x シリーズ カーネル。 ただし、5.14 の時点では、 変更ログにリストされている 3 つの古い長期カーネル シリーズも同様
上記では、新しいカーネル バージョンをサポートするために変更を加える必要がありました。

新しいバージョンでの顕著な変更点については、次の点が強調されています。 さまざまな CONFIG_SECCOMP 設定のサポートが追加されました。 また、起動時に LKRG を無効にする「nolkrg」カーネル パラメータのサポートも含まれています。

誤り訂正の部分では、次のように述べられています。 SECOMP_FILTER_FLAG_TSYNC 処理中の競合状態による誤検知を修正しました。 Linux 5.10 以降のカーネルでの CONFIG_HAVE_STATIC_CALL 設定のサポートも修正されました (他のモジュールをダウンロードする際の競合状態を修正しました)。

さらに、lkrg.block_modules=1 設定の使用時にブロックされたモジュールの名前がレジストリに保存されることが保証されます。

その他の変更点 この新しいバージョンから際立っている:

  • /etc/sysctl.d/01-lkrg.conf ファイルに sysctl-settings の配置を実装しました。
  • DKMS (Dynamic Kernel Module Support) システム用の dkms.conf 構成ファイルが追加されました。これは、カーネルのアップグレード後にサードパーティのモジュールを作成するために使用されます。
  • デバッグ ビルドと継続的統合システムのサポートが改善および更新されました。

最後に あなたがもっと知りたいなら プロジェクトについては、プロジェクトのコードが GPLv2 ライセンスに基づいて配布されていることを知っておく必要があります。

このモジュールをインストールできることに興味がある人にとって、次の点に言及することが重要です。e にはカーネル ビルド ディレクトリが必要です モジュールが実行される Linux カーネル イメージに対応します。 たとえば、Debian と Ubuntu では、linux-headers をインストールするだけで必要なビルド インフラストラクチャを取得できます。

sudo apt-get install linux-headers-$(uname -r )

RHEL、Fedora、またはこれらに基づくディストリビューション (CentOS も含む) などのディストリビューションの場合、インストールする必要があるパッケージは次のとおりです。

sudo yum install kernel-devel

さらに詳しく知るには コンパイル手順だけでなく、情報も参照できます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。