प्रकल्प ओपनवॉलने अलीकडेच प्रकाशनाची घोषणा केली कर्नल मॉड्यूलची नवीन आवृत्ती "LKRG ०.९.२" (Linux Kernel Runtime Guard) जे हल्ले आणि कर्नल संरचनांच्या अखंडतेचे उल्लंघन शोधण्यासाठी आणि अवरोधित करण्यासाठी डिझाइन केलेले आहे.
LKRG सध्या x86-64, x86 32-बिट, AArch64 (ARM64), आणि ARM 32-बिटला समर्थन देते
CPU आर्किटेक्चर.
LKRG बद्दल
LKRG मॉड्यूल s नमूद केल्याप्रमाणेहे लिनक्स कर्नल रनटाइममध्ये अखंडता तपासणी आणि सुरक्षा भेद्यता शोधण्याचे प्रभारी आहे. तो कर्नल विरुद्ध स्फोट होतो. उदाहरणार्थ, मॉड्यूल चालू असलेल्या कर्नलमधील अनधिकृत बदलांपासून संरक्षण करू शकते आणि वापरकर्ता प्रक्रियांच्या परवानग्या बदलण्याचा प्रयत्न करू शकते (शोषणाचा वापर निर्धारित करणे).
हे मॉड्यूल लिनक्स कर्नलमधील आधीच ज्ञात असुरक्षिततेच्या शोषणापासून संरक्षण आयोजित करण्यासाठी (उदाहरणार्थ, सिस्टीमवर कर्नल अद्यतनित करणे कठीण आहे अशा परिस्थितीत) आणि अद्याप अज्ञात भेद्यतेच्या शोषणांचा प्रतिकार करण्यासाठी दोन्ही योग्य आहे.
हे समजले पाहिजे की LKRG कर्नल मॉड्यूल आहे (कर्नल पॅच नाही), म्हणून ते संकलित केले जाऊ शकते आणि मुख्य आणि वितरण कर्नलच्या विस्तृत श्रेणीवर लोड केले जाऊ शकते, त्यापैकी कोणत्याही पॅच करण्याची आवश्यकता नाही.
सध्या, मॉड्यूलला RHEL7 (आणि त्याचे अनेक क्लोन/आवर्तने) आणि उबंटू 16.04 पासून नवीनतम मेनलाइन आणि कर्नल वितरणापर्यंतच्या कर्नल आवृत्त्यांसाठी समर्थन आहे.
LKRG 0.9.2 च्या मुख्य बातम्या
सादर केलेल्या या नवीन आवृत्तीमध्ये, विकासक नमूद करतात की एललिनक्स कर्नल 5.14 ते 5.16-rc सह सुसंगतता सुनिश्चित केली जाते, तसेच LTS कर्नल 5.4.118+, 4.19.191+ आणि 4.14.233+ सह.
आमच्या मागील प्रकाशनाच्या वेळी, LKRG 0.9.1, Linux 5.12.x हे होते शेवटचा कोर. आम्ही नशीबवान आहोत की ते Linux 5.13.x आणि ऑन ऑन बॉक्स ऑफ द आउट कार्य केले नवीन दीर्घकालीन 5.10.x मालिका कर्नल. तथापि, 5.14, म्हणून तसेच चेंजलॉगमध्ये सूचीबद्ध केलेल्या 3 जुन्या दीर्घकालीन कर्नल मालिकेसाठी
पूर्वी, कर्नलच्या त्या नवीन आवृत्त्यांना समर्थन देण्यासाठी आम्हाला बदल करावे लागले.
नवीन आवृत्तीतून जे बदल दिसून येतात त्याबद्दल, हे हायलाइट केले जाते विविध CONFIG_SECCOMP सेटिंग्जसाठी समर्थन जोडले, तसेच बूट वेळी LKRG अक्षम करण्यासाठी "nolkrg" कर्नल पॅरामीटरसाठी समर्थन.
दोष निराकरणाच्या भागावर, असे नमूद केले आहे SCOMP_FILTER_FLAG_TSYNC प्रक्रियेदरम्यान शर्यतीच्या स्थितीमुळे चुकीचे सकारात्मक निश्चित केले, तसेच Linux 5.10+ कर्नलवरील CONFIG_HAVE_STATIC_CALL सेटिंगसाठी निश्चित समर्थन (इतर मॉड्यूल्स अनलोड करताना निश्चित रेस अटी).
याशिवाय, lkrg.block_modules=1 सेटिंग वापरताना ब्लॉक केलेल्या मॉड्यूल्सची नावे रेजिस्ट्रीमध्ये सेव्ह केली जातील याची हमी दिली जाते.
इतर बदलांपैकी जे या नवीन आवृत्तीत उभे आहे:
- /etc/sysctl.d/01-lkrg.conf फाइलमध्ये sysctl-सेटिंग्जचे प्लेसमेंट लागू केले
- DKMS (डायनॅमिक कर्नल मॉड्यूल सपोर्ट) प्रणालीसाठी dkms.conf कॉन्फिगरेशन फाइल जोडली, जी कर्नल अपडेटनंतर तृतीय-पक्ष मॉड्यूल तयार करण्यासाठी वापरली जाते.
- डीबग बिल्ड आणि सतत एकत्रीकरण प्रणालीसाठी सुधारित आणि अद्यतनित समर्थन.
शेवटी आपण अधिक जाणून घेण्यात स्वारस्य असल्यास प्रकल्पाबद्दल, तुम्हाला हे माहित असले पाहिजे की प्रकल्पाचा कोड GPLv2 परवान्याअंतर्गत वितरित केला जातो.
ज्यांना हे मॉड्युल इन्स्टॉल करण्यात स्वारस्य आहे, त्यांनी नमूद करणे महत्त्वाचे आहे की एसe साठी कर्नल बिल्ड डिरेक्टरी आवश्यक आहे लिनक्स कर्नल प्रतिमेशी संबंधित आहे ज्यावर मॉड्यूल चालेल. उदाहरणार्थ, डेबियन आणि उबंटू वर, आपण फक्त लिनक्स-हेडर स्थापित करून आवश्यक बिल्ड पायाभूत सुविधांपासून दूर जाऊ शकता:
sudo apt-get install linux-headers-$(uname -r )
RHEL, Fedora किंवा त्यांच्यावर आधारित वितरण (आणि अगदी CentOS) सारख्या वितरणांसाठी, स्थापित करण्यासाठी खालील पॅकेज आहे:
sudo yum install kernel-devel
त्याबद्दल अधिक जाणून घेण्यासाठी तसेच संकलन सूचना माहितीचा सल्ला घेऊ शकतात पुढील लिंकवर