Mashruuca Openwall ayaa dhawaan daaha ka qaaday bilaabista nooca cusub ee module kernel "LKRG 0.9.2" (Linux Kernel Runtime Guard) kaas oo loogu talagalay in lagu ogaado oo uu joojiyo weerarrada iyo xadgudubyada sharafta qaab-dhismeedka kernel-ka.
LKRG hadda waxay taageertaa x86-64, x86 32-bit, AArch64 (ARM64), iyo ARM 32-bit
Nashqadayaasha CPU.
Ku saabsan LKRG
Sida ku xusan moduleka LKRG swaxayna mas'uul ka tahay samaynta hubinta daacadnimada ee Linux kernel runtime iyo ogaanshaha dayacanka amniga ku qaraxdo kernel-ka. Tusaale ahaan, cutubku wuxuu ka ilaalin karaa isbeddellada aan la oggolayn ee kernel-ka socda iyo isku dayga lagu beddelayo oggolaanshaha hababka isticmaale (iyadoo la go'aaminayo isticmaalka ka faa'iidaysiga).
Qalabkani wuxuu ku haboon yahay labadaba abaabulka ka hortagga ka faa'iidaysiga dayacanka horeba loo yaqaan ee kernel Linux (tusaale ahaan, xaaladaha ay adagtahay in la cusboonaysiiyo kernel-ka nidaamka) iyo ka hortagga ka faa'iidaysiga dayacanka aan wali la garanayn.
Waa in la fahmo in LKRG waa module kernel ah (ma aha balastar kernel ah), markaa waa la isku dubaridi karaa oo lagu rari karaa tiro balaadhan oo ah kernels waaweyn iyo qaybinta, iyada oo aan loo baahnayn in midkoodna la dhajiyo.
Waqtigan xaadirka ah, cutubku wuxuu leeyahay taageerada noocyada kernel ee u dhexeeya RHEL7 (iyo clones / dib u eegis badan) iyo Ubuntu 16.04 ilaa ugu dambeeyay iyo qaybinta asaasiga ah.
Astaamaha cusub ee ugu weyn ee LKRG 0.9.2
Noocan cusub ee la soo bandhigay, horumariyayaashu waxay xuseen in lWaafaqid waa la hubiyaa kernels Linux 5.14 ilaa 5.16-rc, sidoo kale leh LTS kernels 5.4.118+, 4.19.191+ iyo 4.14.233+.
Waqtigii siideynteena hore, LKRG 0.9.1, Linux 5.12.x waxay ahayd xudunta u dambaysa. Waxaan nasiib u yeelanay inay sidoo kale u shaqeyso sida Linux 5.13.x iyo on 5.10.x cusub oo taxane ah oo taxane ah. Si kastaba ha ahaatee, laga bilaabo 5.14, sida iyo sidoo kale 3 taxane kernel oo da'weyn oo ku taxan liiska beddelka
Hadda ka hor, waxay ahayd inaan samayno isbeddelo si aan u taageerno noocyada kernel-ka cusub.
Marka la eego isbeddellada ka muuqda nooca cusub, waxaa la iftiimiyay taas taageero lagu daray CONFIG_SECOMP dejinta kala duwan, iyo sidoo kale taageerada kernel parameter "nolkrg" si loo joojiyo LKRG wakhtiga bootinta.
Qaybta hagaajinta cayayaanka, waxaa lagu xusay taas go'an togan been abuur ah oo ay ugu wacan tahay xaalada jinsiyadda inta lagu jiro habaynta SECOMP_FILTER_FLAG_TSYNC, marka lagu daro in taageerada CONFIG_HAVE_STATIC_CALL qaabeynta ee Linux kernels 5.10+ sidoo kale la saxay (xaalad jinsiyadeed go'an markii la soo dejinayay qaybo kale).
Intaa waxaa dheer, waxaa la dammaanad qaaday in magacyada cutubyada la xannibay marka la isticmaalayo lkrg.block_modules = 1 dejinta lagu keydiyo diiwaanka.
Isbeddelada kale oo ka dhex muuqda noocyadan cusub:
- Meelaynta sysctl-settings ee la fuliyay gudaha /etc/sysctl.d/01-lkrg.conf faylka
- Lagu darey faylka qaabeynta dkms.conf ee nidaamka DKMS (Kernel Module Support Dynamic Kernel), kaas oo loo isticmaalo in lagu abuuro cutubyo dhinac saddexaad ah kadib cusboonaysiinta kernel-ka.
- Taageerada la hagaajiyay oo la cusboonaysiiyay ee dhisidda cilladaha iyo nidaamyada is-dhexgalka joogtada ah.
Finalmente hadaad xiisaynayso inaad waxbadan ogaato Ku saabsan mashruuca, waa inaad ogaataa in xeerka mashruuca lagu qaybiyay shatiga GPLv2.
Kuwa danaynaya inay awoodaan inay rakibaan cutubkan, waxaa muhiim ah in la sheego se waxay u baahan tahay hagaha dhismaha kernel u dhiganta sawirka kernel Linux kaas oo moduleku ku socon doono. Tusaale ahaan, Debian iyo Ubuntu, waxaad maareyn kartaa kaabayaasha dhismaha ee loo baahan yahay kaliya adigoo ku rakibaya madax-madaxeedyada linux:
sudo apt-get install linux-headers-$(uname -r )
Xaaladda qaybinta, sida RHEL, Fedora ama qaybinta ku salaysan kuwan, (iyo xitaa CentOS), xirmada lagu rakibayo waa kuwan soo socda:
sudo yum install kernel-devel
Si aad wax badan uga ogaato iyo sidoo kale tilmaamaha la isku duba ridi karaa la tashan karo macluumaadka Xiriirka soo socda.