Projekts Openwall ir izlaidusi LKRG 0.8 kodola moduļa laidienu (Linux kodola izpildlaika apsardze), kas paredzēti uzbrukumu atklāšanai un bloķēšanai y pamatkonstrukciju integritātes pārkāpumi.
Modulis tas ir piemērots gan aizsardzības organizēšanai pret jau zināmiem izmantojumiem Linux kodolam (piemēram, situācijās, kad kodola atjaunināšana sistēmā ir problemātiska), kas attiecas uz nezināmu ievainojamību izmantošanu.
Kas jauns LKRG 0.8?
Šajā jaunajā versijā mainīta LKRG projekta pozicionēšana, uz kostunda nav sadalīta atsevišķās apakšsistēmās pārbaudīt integritāti un noteikt izmantošanas iespējas, bet tas tiek pasniegts kā pilnīgs produkts identificēt uzbrukumus un dažādus integritātes pārkāpumus;
Attiecībā uz šīs jaunās versijas savietojamību mēs varam konstatēt, ka tas ir saderīgs ar Linux kodoliem no 5.3 līdz 5.7kā arī kodoli, kas apkopoti ar agresīvu GCC optimizāciju, bez opcijām CONFIG_USB un CONFIG_STACKTRACE vai ar iespēju CONFIG_UNWINDER_ORCkā arī ar kodoliem, kur nav funkciju, ko pārtver LKRG, ja jūs varat iztikt bez.
Papildus pievienošanai eksperimentāls atbalsts 32 bitu ARM platformām (pārbaudīts ar Raspberry Pi 3 B modeli), savukārt agrāk pieejamais atbalsts AArch64 (ARM64) ir papildināta ar savietojamību ar Raspberry Pi 4.
Turklāt, ir pievienoti jauni āķi, kas ietver "hook ()" zvanu apstrādātāju, lai labāk identificētu ievainojamības, kuras manipulē ar "iespējām", nevis procesu identifikatorus.
X86-64 sistēmās tiek pārbaudīts un piemērots SMAP bits (Piekļuves novēršana uzraudzītāja režīmā), dkas paredzēti, lai bloķētu piekļuvi datiem lietotāja telpā no privileģēta koda, kas izpildīts kodola līmenī. SMEP (Supervisor Mode Execution Prevention) aizsardzība tika ieviesta agrāk.
Tas ir bijis palielināta procesu izsekošanas datu bāzes mērogojamība: viena RB koka vietā, kuru aizsargā spinlock, ir iesaistīta hash tabula ar 512 RB kokiem, ko aizsargā attiecīgi 512 lasīšanas un rakstīšanas slēdzenes;
Tiek ieviests un iespējots noklusējuma režīms, kurā identifikatoru integritātes pārbaude Apstrāde bieži tiek veikta tikai pašreizējam uzdevumam, kā arī pēc izvēles aktivizētiem uzdevumiem (pamosties). Citiem uzdevumiem, kas atrodas apturētā stāvoklī vai darbojas bez LKRG kontrolēta kodola API izsaukuma, verifikācija tiek veikta retāk.
Papildus systemd vienības fails ir pārveidots ielādēt LKRG moduli agrīnā ielādes posmā (moduļa atspējošanai var izmantot kodola komandrindas opciju);
Kompilēšanas laikā tika pārbaudīti daži obligātie kodola CONFIG_ * kodola iestatījumi, lai ģenerētu jēgpilnus kļūdu ziņojumus, nevis neskaidras kļūdas.
Starp citām izmaiņām, kas izceļas šajā jaunajā versijā:
- Pievienots atbalsts gaidstāves (ACPI S3, Suspend to RAM) un Suspend (S4, Suspend to Disk) režīmiem.
- Makefile pievienots atbalsts DKMS.
- Tiek piedāvāta jauna loģika, lai noteiktu mēģinājumus izkļūt no nosaukumvietas ierobežojumiem (piemēram, no Docker konteineriem).
- Šajā procesā LKRG konfigurācija tiek ievietota atmiņas lapā, parasti tikai lasāmā.
- Informācijas, kas var būt visnoderīgākā uzbrukumiem, izlaidi žurnālos (piemēram, adreses informācija kodolā) ierobežo atkļūdošanas režīms (log_level = 4 un augstāks), kas pēc noklusējuma ir atspējots.
- LKRG regulēšanai ir pievienoti jauni sysctl un moduļu parametri, kā arī divi sysctl vienkāršotai konfigurēšanai, izvēloties no izstrādātāju sagatavotajiem profiliem.
- Noklusējuma iestatījumi tiek mainīti, lai panāktu līdzsvarotāku līdzsvaru starp pārkāpumu atklāšanas ātrumu un reakcijas efektivitāti, no vienas puses, un ietekmi uz produktivitāti un viltus pozitīvu rezultātu risku, no otras puses.
- Pamatojoties uz jaunajā versijā piedāvātajām optimizācijām, veiktspējas samazināšanās, lietojot LKRG 0.8, tiek lēsta par 2.5% noklusējuma režīmā ("smags") un 2% gaismas režīmā ("viegls").
Ja vēlaties uzzināt vairāk par to, varat konsultēties sīkāka informācija šeit.