Projektet Openwall presenterade nyligen lanseringen av den nya versionen av kärnmodulen "LKRG 0.9.2" (Linux Kernel Runtime Guard) som är designad för att upptäcka och blockera attacker och kränkningar av integriteten hos kärnstrukturer.
LKRG stöder för närvarande x86-64, x86 32-bitars, AArch64 (ARM64) och ARM 32-bitars
CPU-arkitekturer.
Om LKRG
Som nämnts LKRG-modulenoch är ansvarig för att utföra en integritetskontroll i Linux-kärnan och upptäcka säkerhetsbrister exploderar mot kärnan. Modulen kan till exempel skydda mot obehöriga ändringar av den körande kärnan och försök att ändra behörigheterna för användarprocesser (genom att bestämma användningen av exploateringar).
Modulen lämpar sig både för att organisera skydd mot utnyttjande av redan kända sårbarheter i Linux-kärnan (till exempel i situationer där det är svårt att uppdatera kärnan på systemet) och för att motverka utnyttjande av fortfarande okända sårbarheter.
Det bör förstås att LKRG är en kärnmodul (inte en kärnpatch), så den kan kompileras och laddas på ett brett utbud av huvud- och distributionskärnor, utan att någon av dem behöver patchas.
För närvarande stöds modulen för kärnversioner som sträcker sig från RHEL7 (och dess många kloner/revisioner) och Ubuntu 16.04 till de senaste mainline- och kärndistributionerna.
Huvudnya funktioner i LKRG 0.9.2
I denna nya version som presenteras nämner utvecklarna att lKompatibilitet garanteras med Linux-kärnorna 5.14 till 5.16-rc, samt med LTS-kärnorna 5.4.118+, 4.19.191+ och 4.14.233+.
Vid tidpunkten för vår tidigare utgåva, LKRG 0.9.1, var Linux 5.12.x sista kärnan. Vi hade turen att det också fungerade som det är på Linux 5.13.x och senare 5.10.x-serien nyare långsiktiga kärnor. Men från och med 5.14, som samt för 3 äldre långtidskärnserier listade i ändringsloggen
Tidigare var vi tvungna att göra ändringar för att stödja de nyare kärnversionerna.
Angående de förändringar som sticker ut i den nya versionen framhålls att lagt till stöd för olika CONFIG_SECCOMP-inställningar, samt stöd för kärnparametern "nolkrg" för att inaktivera LKRG vid uppstart.
På sidan av buggfixarna nämns det att fixade falska positiva på grund av tävlingstillstånd under SECOMP_FILTER_FLAG_TSYNC-bearbetning, utöver det korrigerades även stödet för CONFIG_HAVE_STATIC_CALL-konfigurationen i Linux-kärnorna 5.10+ (fasta race-villkor vid nedladdning av andra moduler).
Dessutom är det garanterat att namnen på de blockerade modulerna när du använder inställningen lkrg.block_modules = 1 sparas i registret.
Av de andra förändringarna som sticker ut från den här nya versionen:
- Implementerad placering av sysctl-inställningar i filen /etc/sysctl.d/01-lkrg.conf
- Lade till dkms.conf-konfigurationsfil för DKMS (Dynamic Kernel Module Support)-system, som används för att skapa tredjepartsmoduler efter en kärnuppdatering.
- Förbättrat och uppdaterat stöd för felsökningsbyggen och kontinuerliga integrationssystem.
Slutligen om du är intresserad av att veta mer Om projektet bör du veta att projektkoden distribueras under GPLv2-licensen.
För den som är intresserad av att kunna installera denna modul är det viktigt att nämna att se kräver en kärnbyggnadskatalog motsvarande Linuxkärnavbildningen i vilken modulen kommer att köras. Till exempel, på Debian och Ubuntu kan du hantera den nödvändiga bygginfrastrukturen bara genom att installera linux-headers:
sudo apt-get install linux-headers-$(uname -r )
När det gäller distributioner, såsom RHEL, Fedora eller distributioner baserade på dessa, (och till och med CentOS), är paketet att installera följande:
sudo yum install kernel-devel
För att lära dig mer om det samt sammanställningsinstruktionerna kan konsultera informationen I följande länk.