LKRG, një modul i dizajnuar për të zbuluar dhe bllokuar sulmet dhe shkeljet në Linux Kernel

Darkcrizt

Minuta 4

El Proyecto Openwall ka lëshuar lëshimin e modulit të kernelit LKRG 0.8 (Garda e Runtime e Kernel Linux), të dizajnuara për të zbuluar dhe bllokuar sulmet y shkeljet e integritetit të strukturave kryesore.

Moduli është i përshtatshëm si për organizimin e mbrojtjes nga shfrytëzimet e njohura tashmë për kernelin Linux (për shembull, në situata kur azhurnimi i kernelit në sistem është problematik), sa i përket kundërshtimeve të shfrytëzimeve për dobësi të panjohura.

Çfarë ka LKRG 0.8 e re?

Në këtë version të ri pozicionimi i projektit LKRG është ndryshuar, çfarë tëora nuk ndahet në nënsisteme të ndara për të verifikuar integritetin dhe për të përcaktuar përdorimin e shfrytëzimeve, por paraqitet si një produkt i plotë të identifikojë sulmet dhe shkeljet e ndryshme të integritetit;

Lidhur me përputhshmërinë, të këtij versioni të ri, mund të zbulojmë se është i pajtueshëm me kernelët Linux nga 5.3 në 5.7si dhe bërthamat e përpiluara me optimizime agresive të GCC, pa opsionet CONFIG_USB dhe CONFIG_STACKTRACE ose me opsionin CONFIG_UNWINDER_ORCsi dhe me bërthamat ku nuk ka funksione të përgjuara nga LKRG nëse mund të bëni pa të.

Përveç mbështetje eksperimentale për platformat 32-bit ARM (testuar në Raspberry Pi 3 Model B), ndërsa për mbështetje më të hershme në dispozicion për AArch64 (ARM64) plotësohet nga pajtueshmëria me Raspberry Pi 4.

Për më tepër, grepa të reja janë shtuar, të cilat përfshijnë një mbajtës thirrjeje "grep ()" për të identifikuar më mirë dobësitë që manipulohen nga "aftësitë", sesa identifikuesit e procesit.

Në sistemet x86-64, biti SMAP kontrollohet dhe zbatohet (Parandalimi i aksesit në mënyrën e mbikëqyrësit), di krijuar për të bllokuar hyrjen në të dhënat në hapësirën e përdoruesit nga kodi i privilegjuar i ekzekutuar ne nivelin e kernelit. Mbrojtja SMEP (Parandalimi i Ekzekutimit të Mënyrës Mbikëqyrëse) u zbatua më herët.

Ka qene shkallëzimi i shtuar i bazës së të dhënave për ndjekjen e procesit: në vend të një peme të vetme RB të mbrojtur nga një spinlock, përfshihet një tryezë hash me 512 pemë RB, të mbrojtura përkatësisht nga 512 brava leximi dhe shkrimi;

Modeshtë implementuar dhe aktivizuar një mënyrë e paracaktuar, në të cilën kontrolli i integritetit të identifikuesve Përpunimi shpesh kryhet vetëm për detyrën aktuale, dhe gjithashtu opsionalisht për detyrat e shkaktuara (zgjohuni). Për detyra të tjera që janë në një gjendje të pezulluar ose që funksionojnë pa një thirrje API të kernelit të kontrolluar nga LKRG, verifikimi kryhet më rrallë.

Përveç skedari i njësisë systemd është ridizajnuar për të ngarkuar modulin LKRG në një fazë të hershme të ngarkimit (opsioni i rreshtit të komandës së kernelit mund të përdoret për të çaktivizuar modulin);

Gjatë përpilimit, u krye një kontroll në disa nga cilësimet e detyrueshme të kernelit CONFIG_ * për të gjeneruar mesazhe domethënëse të gabimit sesa gabime të paqarta.

Nga ndryshimet e tjera që bien në sy në këtë version të ri:

  • Mbështetje e shtuar për modalitetet Standby (ACPI S3, Suspend to RAM) dhe Suspend (S4, Suspend to Disk).
  • Mbështetje e shtuar për DKMS në Makefile.
  • Logjika e re është propozuar për të përcaktuar përpjekjet për të dalë nga kufizimet e hapësirës së emrave (për shembull, nga kontejnerët Docker).
  • Në proces, konfigurimi LKRG vendoset në një faqe të kujtesës, zakonisht vetëm për lexim.
  • Dalja në regjistrat e informacionit që mund të jenë më të dobishëm për sulme (për shembull, informacioni i adresës në bërthamë) është i kufizuar nga mënyra e korrigjimit (log_level = 4 dhe më e lartë), e cila është çaktivizuar si parazgjedhje.
  • Parasmetë e rinj të sysctl dhe modulit janë shtuar për të akorduar LKRG, si dhe dy sysctl për konfigurimin e thjeshtuar duke zgjedhur nga profilet e përgatitura nga zhvilluesit.
  • Cilësimet e parazgjedhura janë ndryshuar për të arritur një ekuilibër më të ekuilibruar midis shpejtësisë së zbulimit të shkeljes dhe efektivitetit të reagimit, nga njëra anë, dhe ndikimit në produktivitet dhe rrezikut të pozitivëve të rremë nga ana tjetër.
  • Sipas optimizimeve të propozuara në versionin e ri, ulja e performancës kur aplikoni LKRG 0.8 vlerësohet në 2.5% në modalitetin e paracaktuar ("i rëndë") dhe 2% në modalitetin e dritës ("dritë").

Nëse doni të dini më shumë rreth kësaj, mund të konsultoheni detajet këtu 


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.