долбоору Openwall LKRG 0.8 ядро модулунун чыгарылышын чыгарды (Linux Kernel Runtime Guard), кол салууларды табуу жана бөгөт коюу үчүн иштелип чыккан y негизги структуралардын бүтүндүгүн бузуу.
модулу ал буга чейин белгилүү болгон эксплуатациядан коргоону уюштурууга ылайыктуу Linux ядросу үчүн (мисалы, тутумдагы өзөктү жаңыртуу көйгөйлүү болгон учурларда), белгисиз аялуу жерлерге каршы эксплуатацияга каршы.
LKRG 0.8 кандай жаңы?
Бул жаңы нускасында LKRG долбоорунун позициясы өзгөрүлдү, эмне кылуу керексаат өзүнчө подсистемаларга бөлүнбөйт бүтүндүгүн текшерүү жана эксплуатациялоонун колдонулушун аныктоо, ал толук продукт катары көрсөтүлөт кол салууларды жана ар кандай бүтүндүктү бузууларды аныктоо;
Ушул жаңы версиянын шайкештиги жөнүндө, биз анын Linux ядролору менен шайкеш экендигин 5.3төн 5.7ге чейин таба алабыз, ошондой эле тандоолорсуз агрессивдүү GCC оптимизациясы менен түзүлгөн ядролор CONFIG_USB жана CONFIG_STACKTRACE же параметр менен CONFIG_UNWINDER_ORCэгерде сиз жасай албасаңыз, анда LKRG тарабынан иштелип чыккан функциялар жок болгон ядролор менен.
Кошумча 32-бит ARM платформаларын эксперименталдык колдоо (Raspberry Pi 3 Model B сыналган), AArch64 (ARM64) Raspberry Pi 4 менен шайкештиги менен толукталат.
Башка жагынан алганда, жаңы илгичтер кошулду, анда процесстин идентификаторлоруна эмес, "мүмкүнчүлүктөр" менен иштелип чыккан аялуу жерлерди жакшыраак аныктоого "hook ()" чакырык иштетгич камтылган.
X86-64 тутумдарында SMAP бит текшерилет жана колдонулат (Жетекчи режиминде кирүүгө жол бербөө), г.колдонуучунун мейкиндигиндеги маалыматтарга жетүүнү блоктоо үчүн иштелип чыккан ядро деңгээлинде аткарылган артыкчылыктуу коддон. SMEP (Supervisor Mode Execution Prevention) коргоо мурда ишке ашырылган.
Бул болду процесстерге көз салуу базасынын масштабдуулугун жогорулатуу: спинлок менен корголгон бир RB дарагынын ордуна, 512 RB дарагынын хэш-таблицасы тиешелүүлүгүнө жараша, 512 окуу жана жазуу кулпусу менен корголгон;
Демейки режим ишке ашырылат жана иштетилет, кайсы идентификаторлордун бүтүндүгүн текшерүү Көбүнчө иштетүү учурдагы тапшырма үчүн гана аткарылат, ошондой эле милдеттендирилген тапшырмалар үчүн (ойгонуу). Токтотулган абалда болгон же LKRG башкаруучу ядро API чалуусуз иштей турган башка тапшырмалар үчүн текшерүү азыраак жүргүзүлөт.
Кошумча systemd бирдиги файлы кайрадан иштелип чыкты жүктөөнүн баштапкы этабында LKRG модулун жүктөө үчүн (ядро буйрук сабынын варианты модулду өчүрүү үчүн колдонулушу мүмкүн);
Компиляция учурунда, айрым милдеттүү түрдө CONFIG_ * ядросунун орнотуулары түшүнүксүз каталарга эмес, маанилүү ката билдирүүлөрүн жаратууга текшерилди.
Ушул жаңы версияда байкалган башка өзгөрүүлөрдүн ичинен:
- Күтүү режимине (ACPI S3, RAM-ге токтото туруу) жана Токтотуу (S4, Дискке токтотуу) режимдери үчүн кошумча колдоо көрсөтүлдү.
- Makefileдеги DKMS колдоосу кошулду.
- Аталыштар мейкиндигиндеги чектөөлөрдөн чыгуу аракетин аныктоо үчүн жаңы логика сунушталды (мисалы, Docker контейнерлеринен).
- Бул процессте LKRG конфигурациясы эс тутумдун баракчасына жайгаштырылат, адатта, окуу үчүн гана.
- Чабуулдар үчүн эң пайдалуу болушу мүмкүн болгон маалымат журналдарынын чыгышы (мисалы, ядродогу даректик маалымат) мүчүлүштүктөрдү оңдоо режими менен чектелген (log_level = 4 жана андан жогору), демейки боюнча өчүрүлөт.
- LKRGди жөндөө үчүн жаңы sysctl жана модулдун параметрлери, ошондой эле иштеп чыгуучулар тарабынан даярдалган профилдерди тандап, жөнөкөйлөтүлгөн конфигурация үчүн эки sysctl кошулду.
- Демейки орнотуулар, бир жагынан, эреже бузууну аныктоонун ылдамдыгы менен реакциянын натыйжалуулугунун, экинчи жагынан өндүрүмдүүлүккө жана жалган позитивдик тобокелдиктерге таасиринин ортосундагы тең салмактуу тең салмактуулукка жетишүү үчүн өзгөртүлөт.
- Жаңы нускада сунушталган оптимизацияларга ылайык, LKRG 0.8 колдонууда иштин төмөндөшү демейки режимде 2.5% ("оор") жана 2% жарык режимде ("жеңил") бааланат.
Эгер бул жөнүндө көбүрөөк билгиңиз келсе, кеңешип көрсөңүз болот толук маалымат бул жерде.
Комментарий биринчи болуп