El proyecto „Openwall“ išleido LKRG 0.8 branduolio modulio leidimą („Linux Kernel Runtime Guard“), sukurta atakoms aptikti ir blokuoti y pagrindinių struktūrų vientisumo pažeidimai.
Modulis jis tinka tiek organizuoti apsaugą nuo jau žinomų išnaudojimų „Linux“ branduoliui (pavyzdžiui, tais atvejais, kai sistemos branduolio atnaujinimas yra problemiškas), kalbant apie priešinimąsi nežinomų pažeidžiamumų išnaudojimu.
Kas naujo LKRG 0.8?
Šioje naujoje versijoje pakeista LKRG projekto padėtis, kąvalanda neskirstoma į atskirus posistemius patikrinti vientisumą ir nustatyti išnaudojimų atvejus, bet jis pateikiamas kaip visas produktas nustatyti atakas ir įvairius sąžiningumo pažeidimus;
Kalbant apie šios naujos versijos suderinamumą, galime rasti, kad jis yra suderinamas su Linux branduoliais nuo 5.3 iki 5.7taip pat branduoliai, sudaryti naudojant agresyvų PĮBT optimizavimą, be parinkčių CONFIG_USB ir CONFIG_STACKTRACE arba su galimybe CONFIG_UNWINDER_ORCtaip pat su branduoliais, kur nėra funkcijų, kurias perima LKRG, jei galite apsieiti.
Be to eksperimentinė parama 32 bitų ARM platformoms (išbandytas naudojant „Raspberry Pi 3“ modelį B), o ankstesniam galimam „AArch64“ palaikymui (ARM64) yra suderinamas su „Raspberry Pi 4“.
Be to, pridėti nauji kabliukai, kurie apima „hook ()“ skambučių tvarkytuvą, kad geriau identifikuotų pažeidžiamumus, kuriais manipuliuoja „galimybės“, o ne proceso identifikatoriai.
X86-64 sistemose tikrinamas ir taikomas SMAP bitas (Prieigos prevencija vadovo režimu), dskirta blokuoti prieigą prie duomenų vartotojo erdvėje iš privilegijuoto kodo, vykdomo branduolio lygiu. SMEP (Supervisor Mode Execution Prevention) apsauga buvo įdiegta anksčiau.
Tai buvo padidėjo proceso stebėjimo duomenų bazės mastelis: vietoj vieno RB medžio, apsaugoto sukiniu, yra 512 RB medžių maišos lentelė, apsaugota atitinkamai 512 skaitymo ir rašymo spynomis;
Įdiegtas ir įjungtas numatytasis režimas, kuriame identifikatorių vientisumo patikrinimas Apdorojimas dažnai atliekamas tik vykdant dabartinę užduotį, taip pat pasirinktinai - suaktyvintoms užduotims (pabusti). Kitoms užduotims, kurios yra sustabdytos būsenos arba kurios veikia be LKRG valdomo branduolio API iškvietimo, tikrinimas atliekamas rečiau.
Be to „systemd unit“ failas buvo pertvarkytas įkelti LKRG modulį ankstyvoje pakrovimo stadijoje (norint išjungti modulį galima naudoti branduolio komandinės eilutės parinktį);
Kompiliavimo metu kai kurie privalomi branduolio CONFIG_ * branduolio parametrai buvo patikrinti, kad būtų sugeneruoti reikšmingi klaidų pranešimai, o ne neaiškūs gedimai.
Iš kitų šioje naujoje versijoje išsiskiriančių pakeitimų:
- Papildomas palaikymas budėjimo (ACPI S3, Suspend to RAM) ir Suspend (S4, Suspend to Disk) režimams.
- Pridėtas DKMS palaikymas „Makefile“.
- Siūloma nauja logika, skirta nustatyti bandymus išeiti iš vardų srities apribojimų (pavyzdžiui, iš „Docker“ konteinerių).
- Proceso metu LKRG konfigūracija dedama į atminties puslapį, paprastai tik skaitomą.
- Informacijos, kuri gali būti naudingiausia atakoms, išvestį į žurnalus (pavyzdžiui, adreso informaciją branduolyje) riboja derinimo režimas (log_level = 4 ir didesnis), kuris pagal numatytuosius nustatymus yra išjungtas.
- Norėdami suderinti LKRG, buvo pridėti nauji „sysctl“ ir modulio parametrai, taip pat du „sysctl“, kad supaprastintumėte konfigūraciją pasirinkdami iš kūrėjų parengtų profilių.
- Numatytieji nustatymai keičiami, siekiant pusiausvyros tarp pažeidimų aptikimo greičio ir reakcijos efektyvumo pusiausvyros, viena vertus, ir poveikio produktyvumui bei neteisingų teigiamų rezultatų rizikos.
- Pagal naujojoje versijoje siūlomus optimizavimus, našumas sumažėja taikant LKRG 0.8 numatytuoju režimu („sunkus“) ir 2.5% - lengvuoju režimu („lengvas“).
Jei norite apie tai sužinoti daugiau, galite pasikonsultuoti išsami informacija čia.