El Proyecto Openwall së fundmi zbuloi lançimin e versioni i ri i modulit kernel "LKRG 0.9.2" (Linux Kernel Runtime Guard) i cili është krijuar për të zbuluar dhe bllokuar sulmet dhe shkeljet e integritetit të strukturave të kernelit.
LKRG aktualisht mbështet x86-64, x86 32-bit, AArch64 (ARM64) dhe ARM 32-bit
Arkitekturat e CPU.
Rreth LKRG
Siç u përmend, moduli LKRG sdhe është përgjegjës për kryerjen e një kontrolli të integritetit në kohën e ekzekutimit të kernelit Linux dhe zbulimin e dobësive të sigurisë shpërthen kundër bërthamës. Për shembull, moduli mund të mbrojë kundër ndryshimeve të paautorizuara në kernelin ekzekutiv dhe përpjekjeve për të ndryshuar lejet e proceseve të përdoruesit (duke përcaktuar përdorimin e shfrytëzimeve).
Moduli është i përshtatshëm si për organizimin e mbrojtjes kundër shfrytëzimeve të dobësive tashmë të njohura në kernelin Linux (për shembull, në situata ku është e vështirë të përditësohet kerneli në sistem) dhe për të luftuar shfrytëzimet e dobësive ende të panjohura.
Duhet kuptuar se LKRG është një modul kernel (jo një patch kernel), kështu që mund të kompilohet dhe ngarkohet në një gamë të gjerë kernelash kryesore dhe shpërndarëse, pa pasur nevojë që asnjëri prej tyre të rregullohet.
Aktualisht, moduli mbështetet për versionet e kernelit që variojnë nga RHEL7 (dhe klone / rishikime të shumta) dhe Ubuntu 16.04 deri te shpërndarjet më të fundit kryesore dhe bazë.
Karakteristikat kryesore të reja të LKRG 0.9.2
Në këtë version të ri që prezantohet, zhvilluesit përmendin se lPërputhshmëria është e siguruar me kernelit Linux 5.14 deri në 5.16-rc, si dhe me kernelet LTS 5.4.118+, 4.19.191+ dhe 4.14.233+.
Në kohën e lëshimit tonë të mëparshëm, LKRG 0.9.1, Linux 5.12.x ishte bërthama e fundit. Ne ishim me fat që gjithashtu funksionoi si është në Linux 5.13.x dhe në vazhdim 5.10.x bërthama më të reja të serive afatgjatë. Megjithatë, që nga 5.14, si si dhe për 3 seri më të vjetra të kernelit afatgjatë të listuara në changelog
Më parë, ne duhej të bënim ndryshime për të mbështetur ato versione më të reja të kernelit.
Lidhur me ndryshimet që bien në sy në versionin e ri, theksohet se shtoi mbështetje për cilësime të ndryshme CONFIG_SECCOMP, si dhe mbështetje për parametrin kernel "nolkrg" për të çaktivizuar LKRG në kohën e nisjes.
Për pjesën e rregullimeve të gabimeve, përmendet se fikse false pozitive për shkak të gjendjes së garës gjatë përpunimit SECOMP_FILTER_FLAG_TSYNC, përveç kësaj, u korrigjua edhe mbështetja për konfigurimin CONFIG_HAVE_STATIC_CALL në kernelin Linux 5.10+ (kushtet e fiksuara të garës gjatë shkarkimit të moduleve të tjera).
Përveç kësaj, është e garantuar që emrat e moduleve të bllokuara gjatë përdorimit të cilësimit lkrg.block_modules = 1 ruhen në regjistër.
Nga ndryshimet e tjera që dallohen nga ky version i ri:
- Vendosja e implementuar e cilësimeve sysctl në skedarin /etc/sysctl.d/01-lkrg.conf
- U shtua skedari i konfigurimit dkms.conf për sistemin DKMS (Dynamic Kernel Module Support), i cili përdoret për të krijuar module të palëve të treta pas një përditësimi të kernelit.
- Mbështetje e përmirësuar dhe e përditësuar për ndërtimet e korrigjimit dhe sistemet e integrimit të vazhdueshëm.
Më në fund nëse jeni të interesuar të dini më shumë Në lidhje me projektin, duhet të dini se kodi i projektit shpërndahet nën licencën GPLv2.
Për ata që janë të interesuar të kenë mundësi të instalojnë këtë modul, është e rëndësishme të përmendim se se kërkon një direktori të ndërtimit të kernelit që korrespondon me imazhin e kernelit Linux në të cilin do të ekzekutohet moduli. Për shembull, në Debian dhe Ubuntu, ju mund të trajtoni infrastrukturën e nevojshme të ndërtimit vetëm duke instaluar kokat e linux:
sudo apt-get install linux-headers-$(uname -r )
Në rastin e shpërndarjeve, të tilla si RHEL, Fedora ose shpërndarjet e bazuara në këto, (dhe madje edhe CentOS), paketa për instalim është si më poshtë:
sudo yum install kernel-devel
Për të mësuar më shumë rreth saj si dhe udhëzimet e përpilimit mund të konsultohen me informacionin Në lidhjen vijuese.