Пројекат Опенвалл је објавио издање модула ЛКРГ 0.8 кернел (Линук Кернел Рунтиме Гуард), дизајниран за откривање и блокирање напада y кршење интегритета основних структура.
Модул погодан је и за организовање заштите од већ познатих подвига за Линук кернел (на пример, у ситуацијама када је ажурирање кернела на систему проблематично), што се тиче супротстављања експлоатацијама непознатих рањивости.
Шта је ново ЛКРГ 0.8?
У овој новој верзији промењено је позиционирање пројекта ЛКРГ, шта дачас није подељен на засебне подсистеме да провери интегритет и утврди употребу експлоатација, али је представљен као комплетан производ да идентификује нападе и разна кршења интегритета;
Што се тиче компатибилности, ове нове верзије, можемо утврдити да је компатибилан са Линук кернелима од 5.3 до 5.7као и језгра састављена са агресивном ГЦЦ оптимизацијом, без опција ЦОНФИГ_УСБ и ЦОНФИГ_СТАЦКТРАЦЕ или са опцијом ЦОНФИГ_УНВИНДЕР_ОРЦкао и са кернелима где нема функција пресретнутих од ЛКРГ ако можете без њих.
Поред већ експериментална подршка за 32-битне АРМ платформе (тестирано на Распберри Пи 3 Модел Б), док је за ранију доступну подршку за ААрцх64 (АРМ64) допуњује компатибилност са Распберри Пи 4.
С друге стране, додане су нове куке, који укључују обрађивач позива „хоок ()“ за боље идентификовање рањивости којима се манипулишу „могућности“, уместо идентификатора процеса.
На к86-64 системима бит СМАП се проверава и примењује (Спречавање приступа у режиму надзора), ддизајниран да блокира приступ подацима у корисничком простору из привилегованог кода изведеног на нивоу језгра. СМЕП (Супервисор Моде Екецутион Превентион) заштита је примењена раније.
Било је повећана скалабилност базе података за праћење процеса: уместо једног РБ стабла заштићеног спинлоцк-ом, укључена је хеш табела од 512 РБ стабала, заштићена са 512 брава за читање и писање;
Примењен је и омогућен подразумевани режим, у којима провера интегритета идентификатора Обрада се често изводи само за тренутни задатак, а такође и опционално за покренуте задатке (буђење). За остале задатке који су у суспендованом стању или који функционишу без ЛКРГ контролисаног АПИ позива језгра, верификација се изводи ређе.
Поред већ Датотека системд унит је редизајнирана за учитавање ЛКРГ модула у раној фази учитавања (опција командне линије кернела може се користити за онемогућавање модула);
Током компајлирања, неке од обавезних поставки језгра ЦОНФИГ_ * су проверене да генеришу смислене поруке о грешкама, а не нејасне грешке.
Од осталих промена које се истичу у овој новој верзији:
- Додата подршка за режиме мировања (АЦПИ С3, Суспенд то РАМ) и Суспенд (С4, Суспенд то Диск).
- Додата подршка за ДКМС у датотеци Макефиле.
- Предложена је нова логика за утврђивање покушаја изласка из ограничења простора имена (на пример, из Доцкерових контејнера).
- У том процесу, ЛКРГ конфигурација се поставља на страницу меморије, обично само за читање.
- Излаз у дневнике информација које могу бити најкорисније за нападе (на пример, информације о адреси у језгру) ограничен је начином отклањања грешака (лог_левел = 4 и новијим), који је подразумевано онемогућен.
- Нови сисцтл и параметри модула додани су за подешавање ЛКРГ-а, као и два сисцтл-а за поједностављену конфигурацију избором између профила које су припремили програмери.
- Подразумеване поставке се мењају како би се постигла уравнотеженија равнотежа између брзине откривања кршења и ефикасности реакције, с једне стране, и утицаја на продуктивност и ризика од лажних позитивних резултата с друге стране.
- Према оптимизацијама предложеним у новој верзији, смањење перформанси при примени ЛКРГ 0.8 процењује се на 2.5% у подразумеваном режиму („тежак“) и 2% у лаганом режиму („лагани“).
Ако желите да сазнате више о томе, можете се обратити детаље овде.