El proyecto Openwall neseniai pristatė paleidimą nauja branduolio modulio versija "LKRG 0.9.2" („Linux Kernel Runtime Guard“), kuri skirta aptikti ir blokuoti atakas ir branduolio struktūrų vientisumo pažeidimus.
LKRG šiuo metu palaiko x86-64, x86 32 bitų, AArch64 (ARM64) ir ARM 32 bitų
CPU architektūros.
Apie LKRG
Kaip minėta, LKRG modulis sir yra atsakingas už „Linux“ branduolio vykdymo laiko vientisumo patikrinimą ir saugos spragų aptikimą sprogsta prieš branduolį. Pavyzdžiui, modulis gali apsaugoti nuo neteisėtų veikiančio branduolio pakeitimų ir bandymų pakeisti vartotojo procesų leidimus (nustatydamas išnaudojimų naudojimą).
Modulis tinkamas tiek apsaugai organizuoti nuo jau žinomų Linux branduolio pažeidžiamumų išnaudojimų (pavyzdžiui, tais atvejais, kai sunku atnaujinti sistemos branduolį), tiek atremti dar nežinomų pažeidžiamumų išnaudojimus.
Reikia suprasti, kad LKRG yra branduolio modulis (ne branduolio pataisa), todėl jį galima kompiliuoti ir įkelti į daugybę pagrindinių ir platinimo branduolių, nereikia pataisyti nė vieno iš jų.
Šiuo metu modulis palaikomas branduolio versijoms, pradedant RHEL7 (ir daugybe jo klonų / pakeitimų) ir Ubuntu 16.04 iki naujausių pagrindinių ir pagrindinių platinimų.
Pagrindinės naujos LKRG 0.9.2 savybės
Šioje pristatomoje naujoje versijoje kūrėjai mini, kad lSuderinamumas užtikrinamas su Linux branduoliais nuo 5.14 iki 5.16-rc, taip pat su LTS branduoliais 5.4.118+, 4.19.191+ ir 4.14.233+.
Ankstesnio leidimo metu LKRG 0.9.1, Linux 5.12.x buvo paskutinė šerdis. Mums pasisekė, kad jis taip pat veikė kaip veikia Linux 5.13.x ir kitose versijose 5.10.x naujesni ilgalaikės serijos branduoliai. Tačiau nuo 5.14, as taip pat 3 senesnėms ilgalaikėms branduolių serijoms, nurodytoms pakeitimų žurnale
Anksčiau turėjome atlikti pakeitimus, kad palaikytume tas naujesnes branduolio versijas.
Kalbant apie pokyčius, kurie išsiskiria naujoje versijoje, pabrėžiama, kad pridėtas įvairių CONFIG_SECCOMP nustatymų palaikymas, taip pat branduolio parametro „nolkrg“ palaikymas, leidžiantis išjungti LKRG įkrovos metu.
Kalbant apie klaidų taisymus, tai minima SECOMP_FILTER_FLAG_TSYNC apdorojimo metu ištaisytas klaidingas teigiamas rezultatas dėl lenktynių sąlygų, be to, taip pat buvo pakoreguotas CONFIG_HAVE_STATIC_CALL konfigūracijos palaikymas Linux branduoliuose 5.10+ (ištaisytos lenktynių sąlygos atsisiunčiant kitus modulius).
Be to, garantuojama, kad blokuojamų modulių pavadinimai naudojant lkrg.block_modules = 1 nustatymą bus išsaugoti registre.
Iš kitų pokyčių kurie išsiskiria iš šios naujos versijos:
- Įdiegtas sysctl-settings talpinimas /etc/sysctl.d/01-lkrg.conf faile
- Pridėtas DKMS (Dynamic Kernel Module Support) sistemos konfigūracijos failas dkms.conf, kuris naudojamas trečiųjų šalių moduliams kurti po branduolio atnaujinimo.
- Patobulintas ir atnaujintas derinimo kūrimo ir nuolatinio integravimo sistemų palaikymas.
Pagaliau jei jus domina daugiau sužinoti Apie projektą turėtumėte žinoti, kad projekto kodas platinamas pagal GPLv2 licenciją.
Tiems, kurie domisi galimybe įdiegti šį modulį, svarbu paminėti, kad se reikalingas branduolio kūrimo katalogas atitinkantį Linux branduolio vaizdą, kuriame veiks modulis. Pavyzdžiui, „Debian“ ir „Ubuntu“ galite tvarkyti reikiamą kūrimo infrastruktūrą tiesiog įdiegę „Linux“ antraštes:
sudo apt-get install linux-headers-$(uname -r )
Paskirstymų, tokių kaip RHEL, Fedora arba jais pagrįstų platinimų (ir net CentOS) atveju diegimo paketas yra toks:
sudo yum install kernel-devel
Norėdami sužinoti daugiau apie tai taip pat kompiliavimo instrukcijose galite peržiūrėti informaciją Šioje nuorodoje.