Projekt Openwall zaprezentował niedawno premierę nowa wersja modułu jądra „LKRG 0.9.2” (Linux Kernel Runtime Guard), który służy do wykrywania i blokowania ataków oraz naruszeń integralności struktur jądra.
LKRG obsługuje obecnie x86-64, x86 32-bit, AArch64 (ARM64) i ARM 32-bit
Architektury procesorów.
O LKRG
Jak wspomniano moduł LKRG si jest odpowiedzialny za przeprowadzanie kontroli integralności w środowisku wykonawczym jądra Linux i wykrywanie luk w zabezpieczeniach wybucha na jądrze. Przykładowo, moduł może chronić przed nieautoryzowanymi zmianami w uruchomionym jądrze oraz próbami zmiany uprawnień procesów użytkownika (poprzez określenie użycia exploitów).
Moduł nadaje się zarówno do organizowania ochrony przed exploitami znanych już luk w jądrze Linuksa (na przykład w sytuacjach, gdy trudno jest zaktualizować jądro w systemie), jak i do przeciwdziałania exploitom wciąż nieznanych luk.
Należy rozumieć, że LKRG to moduł jądra (nie łata jądra), dzięki czemu może być kompilowana i ładowana na wielu jądrach głównych i dystrybucyjnych, bez konieczności łatania któregokolwiek z nich.
Obecnie moduł jest obsługiwany dla wersji jądra począwszy od RHEL7 (i jego wielu klonów/wersji) i Ubuntu 16.04 do najnowszych dystrybucji mainline i core.
Główne nowe funkcje LKRG 0.9.2
W tej nowej wersji, która jest prezentowana, programiści wspominają, że lZapewniona kompatybilność z jądrami Linux 5.14 do 5.16-rc, jak również z jądrami LTS 5.4.118+, 4.19.191+ i 4.14.233+.
W czasie naszej poprzedniej wersji, LKRG 0.9.1, Linux 5.12.x był ostatni rdzeń. Mieliśmy szczęście, że działało tak samo jak w Linuksie 5.13.x i na nowszych wersjach 5.10.x nowsze rdzenie z serii długoterminowej. Jednak od 5.14, jak jak również dla 3 starszych długoterminowych serii jądra wymienionych w dzienniku zmian
Wcześniej musieliśmy wprowadzić zmiany, aby wspierać te nowsze wersje jądra.
Jeśli chodzi o zmiany, które wyróżniają się w nowej wersji, podkreślono, że dodano obsługę różnych ustawień CONFIG_SECCOMP, jak również wsparcie dla parametru jądra "nolkrg", aby wyłączyć LKRG podczas uruchamiania.
Jeśli chodzi o poprawki błędów, wspomniano, że naprawiono fałszywie pozytywne z powodu wyścigu podczas przetwarzania SECOMP_FILTER_FLAG_TSYNC, dodatkowo poprawiono obsługę konfiguracji CONFIG_HAVE_STATIC_CALL w jądrach Linux 5.10+ (poprawiono wyścig podczas pobierania innych modułów).
Ponadto gwarantuje się, że nazwy zablokowanych modułów podczas korzystania z ustawienia lkrg.block_modules = 1 są zapisywane w rejestrze.
Z innych zmian które wyróżniają się na tle nowej wersji:
- Zaimplementowane umieszczenie sysctl-settings w pliku /etc/sysctl.d/01-lkrg.conf
- Dodano plik konfiguracyjny dkms.conf dla systemu DKMS (Dynamic Kernel Module Support), który służy do tworzenia modułów firm trzecich po aktualizacji jądra.
- Ulepszona i zaktualizowana obsługa kompilacji debugowania i systemów ciągłej integracji.
W końcu jeśli chcesz dowiedzieć się więcej O projekcie powinieneś wiedzieć, że kod projektu jest rozpowszechniany na licencji GPLv2.
Dla tych, którzy są zainteresowani możliwością zainstalowania tego modułu, ważne jest, aby wspomnieć, że se wymaga katalogu budowania jądra odpowiadający obrazowi jądra Linux, w którym moduł będzie działał. Na przykład w Debianie i Ubuntu możesz obsłużyć wymaganą infrastrukturę kompilacji po prostu instalując nagłówki linux:
sudo apt-get install linux-headers-$(uname -r )
W przypadku dystrybucji, takich jak RHEL, Fedora lub opartych na nich dystrybucji (a nawet CentOS), pakiet do zainstalowania wygląda następująco:
sudo yum install kernel-devel
Aby dowiedzieć się więcej na ten temat jak również instrukcje kompilacji mogą zapoznać się z informacjami W poniższym linku.