프로젝트 Openwall은 LKRG 0.8 커널 모듈 릴리스를 출시했습니다. (리눅스 커널 런타임 가드), 공격을 감지하고 차단하도록 설계 y 핵심 구조의 무결성 위반.
모듈 이미 알려진 악용에 대한 보호를 구성하는 데 적합합니다. Linux 커널의 경우 (예 : 시스템에서 커널을 업데이트하는 데 문제가있는 상황), 알려지지 않은 취약성에 대한 공격에 반대합니다.
새로운 LKRG 0.8은 무엇입니까?
이 새 버전에서 LKRG 프로젝트의 위치가 변경되었습니다., 무엇을시간은 별도의 하위 시스템으로 나뉘 지 않습니다. 무결성을 확인하고 익스플로잇 사용을 결정하기 위해 그러나 그것은 완전한 제품으로 제시됩니다 공격 및 다양한 무결성 위반을 식별합니다.
이 새 버전의 호환성과 관련하여 5.3에서 5.7까지의 Linux 커널과 호환된다는 것을 알 수 있습니다.옵션없이 공격적인 GCC 최적화로 컴파일 된 커널 CONFIG_USB 및 CONFIG_STACKTRACE 또는 옵션으로 CONFIG_UNWINDER_ORC없이 할 수 있다면 LKRG가 가로채는 함수가없는 커널도 마찬가지입니다.
여기에 덧붙여 32 비트 ARM 플랫폼에 대한 실험적 지원 (Raspberry Pi 3 Model B에서 테스트 됨), AArch64 (ARM64)에 대한 이전 지원에 대해 Raspberry Pi 4와의 호환성으로 보완됩니다.
또한, 새로운 후크가 추가되었습니다, 여기에는 프로세스 식별자가 아닌 "기능"에 의해 조작되는 취약성을 더 잘 식별하기위한 "후크 ()"호출 핸들러가 포함됩니다.
x86-64 시스템에서 SMAP 비트가 확인되고 적용됩니다. (감독자 모드에서 액세스 방지), d사용자 공간의 데이터에 대한 액세스를 차단하도록 설계 커널 수준에서 실행되는 특권 코드에서. SMEP (Supervisor Mode Execution Prevention) 보호는 이전에 구현되었습니다.
그것은되었습니다 프로세스 추적 데이터베이스의 확장 성 증가: 스핀 록에 의해 보호되는 단일 RB 트리 대신 512 RB 트리의 해시 테이블이 관련되며, 각각 512 읽기 및 쓰기 잠금으로 보호됩니다.
기본 모드가 구현되고 활성화됩니다.어느 곳에 식별자의 무결성 검사 처리는 종종 현재 작업에 대해서만 수행되며 선택적으로 트리거 된 작업 (wake up)에 대해서도 수행됩니다. 일시 중단 상태에 있거나 LKRG 제어 커널 API 호출없이 작동하는 다른 작업의 경우 확인이 덜 자주 수행됩니다.
여기에 덧붙여 systemd 단위 파일이 재 설계되었습니다. 로드 초기 단계에서 LKRG 모듈을로드합니다 (커널 명령 줄 옵션을 사용하여 모듈을 비활성화 할 수 있음).
컴파일 중에 일부 필수 CONFIG_ * 커널 설정을 확인하여 모호한 오류가 아닌 의미있는 오류 메시지를 생성했습니다.
이 새 버전에서 눈에 띄는 다른 변경 사항 :
- 대기 (ACPI S3, RAM에 일시 중지) 및 일시 중지 (S4, 디스크에 일시 중지) 모드에 대한 지원이 추가되었습니다.
- Makefile에 DKMS에 대한 지원이 추가되었습니다.
- 네임 스페이스 제한 (예 : Docker 컨테이너에서)을 벗어나려는 시도를 결정하기 위해 새로운 논리가 제안됩니다.
- 이 과정에서 LKRG 구성은 일반적으로 읽기 전용 인 메모리 페이지에 배치됩니다.
- 공격에 가장 유용 할 수있는 정보 로그 (예 : 커널의 주소 정보)에 대한 출력은 기본적으로 비활성화 된 디버그 모드 (log_level = 4 이상)로 제한됩니다.
- LKRG를 조정하기 위해 새로운 sysctl 및 모듈 매개 변수가 추가되었으며, 개발자가 준비한 프로필에서 선택하여 단순화 된 구성을위한 두 개의 sysctl이 추가되었습니다.
- 한편으로는 위반 감지 속도와 반응의 효과, 생산성에 미치는 영향과 다른 한편으로는 오 탐지 위험 사이에 균형 잡힌 균형을 이루기 위해 기본 설정이 변경됩니다.
- 새 버전에서 제안 된 최적화에 따르면 LKRG 0.8 적용시 성능 저하는 기본 모드 ( "무거움")에서 2.5 %, 조명 모드 ( "밝음")에서 2 %로 추정됩니다.
그것에 대해 더 알고 싶다면 상담 할 수 있습니다. 여기에 세부 사항.