Proiectul Openwall a dezvăluit recent lansarea lui noua versiune a modulului kernel „LKRG 0.9.2” (Linux Kernel Runtime Guard) care este conceput pentru a detecta și bloca atacurile și încălcările integrității structurilor kernelului.
LKRG acceptă în prezent x86-64, x86 32-bit, AArch64 (ARM64) și ARM 32-bit
Arhitecturi CPU.
Despre LKRG
După cum sa menționat, modulul LKRG sși este responsabil pentru efectuarea unei verificări a integrității în timpul de execuție a nucleului Linux și pentru detectarea vulnerabilităților de securitate explodează împotriva miezului. De exemplu, modulul poate proteja împotriva modificărilor neautorizate ale nucleului care rulează și a încercărilor de a modifica permisiunile proceselor utilizatorului (prin determinarea utilizării exploit-urilor).
Modulul este potrivit atât pentru organizarea protecției împotriva exploit-urilor unor vulnerabilități deja cunoscute în kernel-ul Linux (de exemplu, în situațiile în care este dificil să actualizați kernel-ul pe sistem), cât și pentru contracararea exploit-urilor unor vulnerabilități încă necunoscute.
Trebuie înțeles că LKRG este un modul kernel (nu un patch al nucleului), deci poate fi compilat și încărcat pe o gamă largă de nuclee majore și de distribuție, fără a fi nevoie ca vreunul dintre ele să fie patch-at.
În prezent, modulul este acceptat pentru versiunile de kernel, de la RHEL7 (și numeroasele sale clone/reviziuni) și Ubuntu 16.04 până la cele mai recente distribuții principale și de bază.
Principalele caracteristici noi ale LKRG 0.9.2
În această nouă versiune care este prezentată, dezvoltatorii menționează că lCompatibilitatea este asigurată cu nucleele Linux de la 5.14 la 5.16-rc, precum și cu nucleele LTS 5.4.118+, 4.19.191+ și 4.14.233+.
La momentul lansării noastre anterioare, LKRG 0.9.1, Linux 5.12.x era ultimul nucleu. Am fost norocoși că a funcționat așa cum este pe Linux 5.13.x și mai departe 5.10.x nuclee de serie pe termen lung mai noi. Cu toate acestea, din 5.14, ca precum și pentru 3 serii mai vechi de nuclee pe termen lung enumerate în jurnalul de modificări
Mai devreme, a trebuit să facem modificări pentru a sprijini acele versiuni mai noi de kernel.
În ceea ce privește modificările care ies în evidență în noua versiune, se evidențiază că a adăugat suport pentru diferite setări CONFIG_SECCOMP, precum și suport pentru parametrul de kernel „nolkrg” pentru a dezactiva LKRG la momentul pornirii.
În ceea ce privește remedierea erorilor, se menționează că remediat fals pozitiv din cauza condiției de cursă în timpul procesării SECOMP_FILTER_FLAG_TSYNC, în plus, a fost corectat și suportul pentru configurația CONFIG_HAVE_STATIC_CALL în nucleele Linux 5.10+ (condiții de cursă fixate la descărcarea altor module).
În plus, este garantat că numele modulelor blocate atunci când utilizați setarea lkrg.block_modules = 1 sunt salvate în registru.
Dintre celelalte schimbări care se deosebesc de această nouă versiune:
- Am implementat plasarea sysctl-settings în fișierul /etc/sysctl.d/01-lkrg.conf
- S-a adăugat fișierul de configurare dkms.conf pentru sistemul DKMS (Dynamic Kernel Module Support), care este utilizat pentru a crea module terțe după o actualizare a kernelului.
- Suport îmbunătățit și actualizat pentru versiuni de depanare și sisteme de integrare continuă.
În cele din urmă dacă sunteți interesat să aflați mai multe Despre proiect, trebuie să știți că codul proiectului este distribuit sub licența GPLv2.
Pentru cei care sunt interesați să poată instala acest modul, este important de menționat că se necesită un director de construire a nucleului corespunzătoare imaginii kernel-ului Linux în care va rula modulul. De exemplu, pe Debian și Ubuntu, puteți gestiona infrastructura de construcție necesară doar instalând anteturile linux:
sudo apt-get install linux-headers-$(uname -r )
În cazul distribuțiilor, precum RHEL, Fedora sau distribuțiilor bazate pe acestea, (și chiar CentOS), pachetul de instalat este următorul:
sudo yum install kernel-devel
Pentru a afla mai multe despre el precum și instrucțiunile de compilare pot consulta informațiile În următorul link.