Prosjektet Openwall har gitt ut LKRG 0.8-kjernemodulutgivelsen (Linux Kernel Runtime Guard), designet for å oppdage og blokkere angrep y brudd på integriteten til kjernestrukturene.
Modulen den er egnet både for å organisere beskyttelse mot allerede kjente bedrifter for Linux-kjernen (for eksempel i situasjoner der det er problematisk å oppdatere kjernen på systemet), som for motsatte bedrifter for ukjente sårbarheter.
Hva er nytt LKRG 0.8?
I denne nye versjonen posisjoneringen av LKRG-prosjektet er endret, hva åtime er ikke delt inn i separate delsystemer å verifisere integritet og bestemme bruken av utnyttelser, men det presenteres som et komplett produkt å identifisere angrep og ulike integritetsbrudd;
Når det gjelder kompatibiliteten til denne nye versjonen, vi kan finne at den er kompatibel med Linux-kjerner fra 5.3 til 5.7så vel som kjerner samlet med aggressive GCC-optimaliseringer, uten alternativene CONFIG_USB og CONFIG_STACKTRACE eller med alternativet CONFIG_UNWINDER_ORCså vel som med kjerner der det ikke er noen funksjoner som blir snappet opp av LKRG hvis du kan klare deg uten.
I tillegg til det eksperimentell støtte for 32-biters ARM-plattformer (testet på Raspberry Pi 3 Model B), mens det var tidligere tilgjengelig støtte for AArch64 (ARM64) suppleres med kompatibilitet med Raspberry Pi 4.
Videre nye kroker er lagt til, som inkluderer en "hook ()" - samtalebehandler for bedre å identifisere sårbarheter som manipuleres av "evner", i stedet for prosessidentifikatorer.
På x86-64-systemer blir SMAP-biten sjekket og brukt (Forebygging av tilgang i veiledermodus), ddesignet for å blokkere tilgang til data i brukerområdet fra privilegert kode utført på kjernenivå. SMEP-beskyttelse (Supervisor Mode Execution Prevention) -beskyttelse ble implementert tidligere.
Det har vært økt skalerbarhet i prosesssporingsdatabasen: i stedet for et enkelt RB-tre beskyttet av en spinlock, er en hash-tabell med 512 RB-trær involvert, beskyttet av henholdsvis 512 lese- og skrivelåser;
En standardmodus er implementert og aktivertder integritetskontrollen av identifikatorer Behandlingen utføres ofte bare for den aktuelle oppgaven, og også valgfritt for utløste oppgaver (våkne opp). For andre oppgaver som er i suspendert tilstand eller som fungerer uten en LKRG-kontrollert kjerne-API-samtale, utføres bekreftelse sjeldnere.
I tillegg til det systemd-enhetsfilen er redesignet å laste inn LKRG-modulen på et tidlig tidspunkt for lasting (alternativet kernel command line kan brukes til å deaktivere modulen);
Under kompilering ble noen av de obligatoriske CONFIG_ * kjerneinnstillingene sjekket for å generere meningsfulle feilmeldinger i stedet for obskure feil.
Av de andre endringene som skiller seg ut i denne nye versjonen:
- Lagt til støtte for ventemodus (ACPI S3, Suspend to RAM) og Suspend (S4, Suspend to Disk).
- Lagt til støtte for DKMS i Makefile.
- Ny logikk foreslås for å bestemme forsøk på å komme seg ut av begrensninger i navneområdet (for eksempel fra Docker-containere).
- I prosessen plasseres LKRG-konfigurasjonen på en minneside, vanligvis skrivebeskyttet.
- Utdataene til logger av informasjon som kan være mest nyttige for angrep (for eksempel adresseinformasjon i kjernen) er begrenset av feilsøkingsmodus (log_level = 4 og høyere), som er deaktivert som standard.
- Nye sysctl- og modulparametere er lagt til for å stille inn LKRG, samt to sysctl for forenklet konfigurasjon ved å velge fra profiler utarbeidet av utviklere.
- Standardinnstillingene endres for å oppnå en mer balansert balanse mellom hastigheten på deteksjonen av brudd og effektiviteten til reaksjonen, på den ene siden, og innvirkningen på produktiviteten og risikoen for falske positive på den andre.
- I henhold til optimaliseringene som er foreslått i den nye versjonen, er ytelsesreduksjonen når du bruker LKRG 0.8 estimert til 2.5% i standardmodus ("tung") og 2% i lysmodus ("lett").
Hvis du vil vite mer om det, kan du konsultere detaljer her.