Projekt Openwall je pred kratkim predstavil lansiranje novo različico modula jedra "LKRG 0.9.2" (Linux Kernel Runtime Guard), ki je zasnovan za odkrivanje in blokiranje napadov in kršitev integritete struktur jedra.
LKRG trenutno podpira x86-64, x86 32-bit, AArch64 (ARM64) in ARM 32-bit
CPU arhitekture.
O LKRG
Kot že omenjeno, modul LKRG sin je odgovoren za izvajanje preverjanja integritete v času izvajanja jedra Linux in odkrivanje varnostnih ranljivosti eksplodira proti jedru. Modul lahko na primer ščiti pred nepooblaščenimi spremembami v delujočem jedru in poskuša spremeniti dovoljenja uporabniških procesov (z določitvijo uporabe izkoriščanja).
Modul je primeren tako za organizacijo zaščite pred izkoriščanjem že znanih ranljivosti v jedru Linuxa (na primer v situacijah, ko je jedro težko posodobiti v sistemu) kot za preprečevanje izkoriščanja še neznanih ranljivosti.
Treba je razumeti, da LKRG je modul jedra (ni popravek jedra), tako da ga je mogoče prevesti in naložiti na širok razpon glavnih in distribucijskih jeder, ne da bi bilo treba katero koli od njih pokrpati.
Trenutno ima modul podporo za različice jedra, ki segajo od RHEL7 (in njegovih številnih klonov/revizij) in Ubuntu 16.04 do najnovejših glavnih in jedrnih distribucij.
Glavne novosti LKRG 0.9.2
V tej novi različici, ki je predstavljena, razvijalci omenjajo, da je lZdružljivost je zagotovljena z jedri Linuxa 5.14 do 5.16-rc, kot tudi z jedri LTS 5.4.118+, 4.19.191+ in 4.14.233+.
V času naše prejšnje izdaje je bil LKRG 0.9.1, Linux 5.12.x zadnje jedro. Imeli smo srečo, da je delovalo tako kot je tudi na Linuxu 5.13.x in naprej 5.10.x novejša dolgoročna serijska jedra. Vendar pa od 5.14, kot kot tudi za 3 starejše serije dolgoročnih jeder, navedene v dnevniku sprememb
Prej smo morali narediti spremembe, da bi podprli te novejše različice jedra.
Glede sprememb, ki izstopajo v novi različici, je poudarjeno, da dodana podpora za različne nastavitve CONFIG_SECCOMP, kot tudi podpora za parameter jedra "nolkrg" za onemogočanje LKRG ob zagonu.
Za del popravkov napak je omenjeno, da popravljen lažno pozitiven zaradi stanja dirke med obdelavo SECOMP_FILTER_FLAG_TSYNC, poleg tega je bila popravljena tudi podpora za konfiguracijo CONFIG_HAVE_STATIC_CALL v jedrih Linuxa 5.10+ (popravljeni dirkalni pogoji pri prenosu drugih modulov).
Poleg tega je zagotovljeno, da so imena blokiranih modulov pri uporabi nastavitve lkrg.block_modules = 1 shranjena v registru.
Od ostalih sprememb ki izstopajo iz te nove različice:
- Izvedena postavitev sysctl-nastavitev v datoteko /etc/sysctl.d/01-lkrg.conf
- Dodana konfiguracijska datoteka dkms.conf za sistem DKMS (Dynamic Kernel Module Support), ki se uporablja za ustvarjanje modulov tretjih oseb po posodobitvi jedra.
- Izboljšana in posodobljena podpora za gradnje za odpravljanje napak in sisteme za stalno integracijo.
Končno če vas zanima več Glede projekta morate vedeti, da se projektna koda distribuira pod licenco GPLv2.
Za tiste, ki jih zanima, da bi lahko namestili ta modul, je pomembno omeniti, da se zahteva imenik za gradnjo jedra ki ustreza sliki jedra Linuxa, v katerem se bo modul izvajal. Na primer, v Debianu in Ubuntu lahko upravljate z zahtevano infrastrukturo za gradnjo samo tako, da namestite glave linuxa:
sudo apt-get install linux-headers-$(uname -r )
V primeru distribucij, kot so RHEL, Fedora ali distribucije, ki temeljijo na teh (in celo CentOS), je paket za namestitev naslednji:
sudo yum install kernel-devel
Če želite izvedeti več o tem kot tudi navodila za sestavljanje si lahko ogledate informacije V naslednji povezavi.