Projekt Openwall je izdal izdajo modula jedra LKRG 0.8 (Zaščita med izvajanjem jedra Linuxa), zasnovan za odkrivanje in blokiranje napadov y kršitve celovitosti osrednjih struktur.
Modul primeren je tako za organiziranje zaščite pred že znanimi podvigi za jedro Linuxa (na primer v primerih, ko je posodobitev jedra v sistemu problematična), kot pri nasprotovanju izkoriščanju neznanih ranljivosti.
Kaj je novega LKRG 0.8?
V tej novi različici položaj projekta LKRG je spremenjen, kaj najura ni razdeljena na ločene podsisteme za preverjanje celovitosti in ugotavljanje uporabe podvigov, vendar je predstavljen kot celoten izdelek prepoznati napade in različne kršitve integritete;
Glede združljivosti te nove različice, lahko ugotovimo, da je združljiv z jedri Linuxa od 5.3 do 5.7kot tudi jedra, sestavljena z agresivnimi optimizacijami GCC, brez možnosti CONFIG_USB in CONFIG_STACKTRACE ali z možnostjo CONFIG_UNWINDER_ORCpa tudi z jedri, kjer LKRG ne prestreže nobenih funkcij, če lahko brez njih.
Poleg eksperimentalna podpora za 32-bitne platforme ARM (preizkušeno na Raspberry Pi 3 Model B), medtem ko je za prej na voljo podporo za AArch64 (ARM64) dopolnjuje združljivost z Raspberry Pi 4.
Po drugi strani pa dodane so nove kljuke, ki vključujejo obdelavo klicev "hook ()" za boljše prepoznavanje ranljivosti, s katerimi manipulirajo "zmogljivosti", ne pa identifikatorji procesov.
V sistemih x86-64 se preverja in uporablja bit SMAP (Preprečevanje dostopa v nadzorniškem načinu), dzasnovan tako, da blokira dostop do podatkov v uporabniškem prostoru iz privilegirane kode, ki se izvaja na ravni jedra. Zaščita SMEP (Supervisor Mode Execution Prevention) je bila uvedena že prej.
Bilo je povečana razširljivost baze podatkov za sledenje procesom: namesto enega samega RB drevesa, zaščitenega s spinlockom, je vključena zgoščevalna tabela 512 RB dreves, zaščitenih s 512 ključavnicami za branje in zapisovanje;
Izveden je in omogočen privzeti način, v katerem preverjanje integritete identifikatorjev Obdelava se pogosto izvaja samo za trenutno nalogo in tudi neobvezno za sprožene naloge (prebujanje). Za druga opravila, ki so v začasno ustavljenem stanju ali delujejo brez klica API-ja jedra, ki ga nadzoruje LKRG, se preverjanje izvaja manj pogosto.
Poleg Datoteka systemd unit je bila preoblikovana za nalaganje modula LKRG v zgodnji fazi nalaganja (možnost ukazne vrstice jedra lahko uporabimo za onemogočanje modula);
Med prevajanjem so bile nekatere obvezne nastavitve jedra CONFIG_ * preverjene, da ustvarjajo pomembna sporočila o napakah in ne nejasnih napak.
Od ostalih sprememb, ki izstopajo v tej novi različici:
- Dodana podpora za načina pripravljenosti (ACPI S3, Suspend to RAM) in Suspend (S4, Suspend to Disk).
- Dodana podpora za DKMS v datoteki Make.
- Predlaga se nova logika za določitev poskusov izstopa iz omejitev imenskega prostora (na primer iz Dockerjevih vsebnikov).
- Pri tem se konfiguracija LKRG postavi na stran pomnilnika, običajno samo za branje.
- Izhod v dnevnike informacij, ki so lahko najbolj uporabne za napade (na primer informacije o naslovu v jedru), je omejen z načinom odpravljanja napak (log_level = 4 in novejši), ki je privzeto onemogočen.
- Za nastavitev LKRG so dodani novi parametri sysctl in modula ter dva sysctl za poenostavljeno konfiguracijo z izbiro med profili, ki so jih pripravili razvijalci.
- Privzete nastavitve se spremenijo, da se doseže bolj uravnoteženo ravnovesje med hitrostjo odkrivanja kršitev in učinkovitostjo reakcije na eni strani ter vplivom na produktivnost in tveganjem lažno pozitivnih rezultatov na drugi strani.
- Glede na optimizacije, predlagane v novi različici, se zmanjša zmogljivost pri uporabi LKRG 0.8 v privzetem načinu ("težka") in 2.5% v lahkem načinu ("lahka").
Če želite o tem izvedeti več, se lahko posvetujete podrobnosti tukaj.