Projekt Openwall nedávno predstavil spustenie nová verzia modulu jadra "LKRG 0.9.2" (Linux Kernel Runtime Guard), ktorý je určený na detekciu a blokovanie útokov a narušenia integrity štruktúr jadra.
LKRG v súčasnosti podporuje x86-64, x86 32-bit, AArch64 (ARM64) a ARM 32-bit
architektúry CPU.
O LKRG
Ako bolo spomenuté modul LKRG sa je zodpovedný za vykonanie kontroly integrity v runtime jadra Linuxu a za detekciu bezpečnostných zraniteľností vybuchne proti jadru. Modul môže napríklad chrániť pred neoprávnenými zmenami spusteného jadra a pokusmi o zmenu oprávnení používateľských procesov (určením použitia exploitov).
Modul je vhodný ako na organizáciu ochrany pred zneužitím už známych zraniteľností v jadre Linuxu (napríklad v situáciách, keď je ťažké aktualizovať jadro v systéme), tak aj na boj proti exploitom zatiaľ neznámych zraniteľností.
Malo by byť zrejmé, že LKRG je modul jadra (nie záplata jadra), takže ju možno skompilovať a nahrať na širokú škálu hlavných a distribučných jadier bez toho, aby bolo potrebné záplatovať ktorékoľvek z nich.
V súčasnosti má modul podporu pre verzie jadra od RHEL7 (a jeho mnohých klonov / revízií) a Ubuntu 16.04 až po najnovšie distribúcie hlavnej línie a jadra.
Hlavné nové funkcie LKRG 0.9.2
V tejto novej verzii, ktorá je prezentovaná, vývojári spomínajú, že lKompatibilita je zaručená s linuxovými jadrami 5.14 až 5.16-rc, ako aj s jadrami LTS 5.4.118+, 4.19.191+ a 4.14.233+.
V čase nášho predchádzajúceho vydania, LKRG 0.9.1, Linux 5.12.x bol posledné jadro. Mali sme šťastie, že to fungovalo rovnako ako na Linuxe 5.13.xa ďalej 5.10.x novšie jadrá dlhodobej série. Avšak k 5.14 ako aj pre 3 staršie série dlhodobých jadier uvedené v changelogu
Predtým sme museli urobiť zmeny na podporu týchto novších verzií jadra.
Pokiaľ ide o zmeny, ktoré vynikajú v novej verzii, je potrebné zdôrazniť, že pridaná podpora pre rôzne nastavenia CONFIG_SECCOMP, ako aj podpora parametra jadra "nolkrg" na deaktiváciu LKRG v čase zavádzania.
Pre časť opráv chýb sa spomína, že opravený falošne pozitívny v dôsledku rasovej podmienky počas spracovania SECOMP_FILTER_FLAG_TSYNC, okrem toho bola opravená aj podpora pre konfiguráciu CONFIG_HAVE_STATIC_CALL v Linuxových jadrách 5.10+ (opravené race conditions pri sťahovaní iných modulov).
Okrem toho je zaručené, že názvy blokovaných modulov sa pri použití nastavenia lkrg.block_modules = 1 uložia do registra.
Z ďalších zmien ktoré vyčnievajú z tejto novej verzie:
- Implementované umiestnenie nastavení sysctl v súbore /etc/sysctl.d/01-lkrg.conf
- Pridaný konfiguračný súbor dkms.conf pre systém DKMS (Dynamic Kernel Module Support), ktorý sa používa na vytváranie modulov tretích strán po aktualizácii jadra.
- Vylepšená a aktualizovaná podpora pre zostavy ladenia a systémy nepretržitej integrácie.
Konečne ak máte záujem dozvedieť sa viac O projekte by ste mali vedieť, že kód projektu je distribuovaný pod licenciou GPLv2.
Pre tých, ktorí majú záujem si tento modul nainštalovať, je dôležité spomenúť, že se vyžaduje adresár na zostavenie jadra zodpovedajúci obrazu linuxového jadra, v ktorom bude modul bežať. Napríklad na Debiane a Ubuntu môžete spracovať požadovanú infraštruktúru na zostavenie len nainštalovaním linuxových hlavičiek:
sudo apt-get install linux-headers-$(uname -r )
V prípade distribúcií, ako sú RHEL, Fedora alebo distribúcií na nich založených (a dokonca aj CentOS), balík na inštaláciu je nasledujúci:
sudo yum install kernel-devel
Ak sa chcete dozvedieť viac o tom ako aj pokyny na zostavenie si môžu prečítať informácie Na nasledujúcom odkaze.