Ang proyekto Inihayag kamakailan ng Openwall ang paglulunsad ng ang bagong bersyon ng kernel module "LKRG 0.9.2" (Linux Kernel Runtime Guard) na idinisenyo upang makita at harangan ang mga pag-atake at mga paglabag sa integridad ng mga istruktura ng kernel.
Kasalukuyang sinusuportahan ng LKRG ang x86-64, x86 32-bit, AArch64 (ARM64), at ARM 32-bit
Mga arkitektura ng CPU.
Tungkol sa LKRG
Gaya ng nabanggit sa LKRG module sat responsable para sa pagsasagawa ng integrity check sa Linux kernel runtime at pag-detect ng mga kahinaan sa seguridad sumasabog laban sa kernel. Halimbawa, maaaring maprotektahan ng module laban sa mga hindi awtorisadong pagbabago sa tumatakbong kernel at pagtatangka na baguhin ang mga pahintulot ng mga proseso ng user (sa pamamagitan ng pagtukoy sa paggamit ng mga pagsasamantala).
Ang module ay angkop kapwa para sa pag-aayos ng proteksyon laban sa mga pagsasamantala ng mga kilalang kahinaan sa Linux kernel (halimbawa, sa mga sitwasyon kung saan mahirap i-update ang kernel sa system) at para sa pagkontra sa mga pagsasamantala ng hindi pa alam na mga kahinaan.
Dapat itong maunawaan na ang LKRG ay isang kernel module (hindi isang kernel patch), kaya maaari itong i-compile at i-load sa isang malawak na hanay ng mga major at distribution kernels, nang hindi nangangailangan ng alinman sa mga ito na ma-patch.
Sa kasalukuyan, sinusuportahan ang module para sa mga bersyon ng kernel mula sa RHEL7 (at sa maraming clone/revision nito) at Ubuntu 16.04 hanggang sa pinakabagong mainline at core distribution.
Pangunahing bagong tampok ng LKRG 0.9.2
Sa bagong bersyon na ito na ipinakita, binanggit ng mga developer na lTinitiyak ang pagiging tugma sa mga kernel ng Linux 5.14 hanggang 5.16-rc, pati na rin sa mga LTS kernels 5.4.118+, 4.19.191+ at 4.14.233+.
Sa panahon ng aming nakaraang release, LKRG 0.9.1, Linux 5.12.x ay ang huling core. Kami ay mapalad na gumana rin ito tulad ng sa Linux 5.13.x at sa iba pa 5.10.x mas bagong pangmatagalang mga core ng serye. Gayunpaman, sa 5.14, bilang pati na rin para sa 3 mas lumang pangmatagalang serye ng kernel na nakalista sa changelog
Mas maaga, kailangan naming gumawa ng mga pagbabago upang suportahan ang mga mas bagong bersyon ng kernel.
Tungkol sa mga pagbabago na namumukod-tangi sa bagong bersyon, ito ay naka-highlight na nagdagdag ng suporta para sa iba't ibang mga setting ng CONFIG_SECCOMP, pati na rin ang suporta para sa kernel parameter na "nolkrg" upang hindi paganahin ang LKRG sa oras ng boot.
Para sa bahagi ng mga pag-aayos ng bug, ito ay nabanggit na naayos ang false positive dahil sa kondisyon ng lahi sa panahon ng pagproseso ng SECOMP_FILTER_FLAG_TSYNC, bilang karagdagan sa na ang suporta para sa CONFIG_HAVE_STATIC_CALL configuration sa Linux kernels 5.10+ ay naitama din (naayos na mga kondisyon ng lahi kapag nagda-download ng iba pang mga module).
Bilang karagdagan, ginagarantiyahan na ang mga pangalan ng mga naka-block na module kapag ginagamit ang lkrg.block_modules = 1 na setting ay naka-save sa registry.
Sa iba pang mga pagbabago tumayo mula sa bagong bersyon na ito:
- Ipinatupad ang paglalagay ng sysctl-settings sa /etc/sysctl.d/01-lkrg.conf file
- Idinagdag ang dkms.conf configuration file para sa DKMS (Dynamic Kernel Module Support) system, na ginagamit para gumawa ng mga third-party na module pagkatapos ng pag-update ng kernel.
- Pinahusay at na-update na suporta para sa mga debug build at tuluy-tuloy na integration system.
Sa wakas kung interesado kang malaman ang higit pa Tungkol sa proyekto, dapat mong malaman na ang code ng proyekto ay ipinamamahagi sa ilalim ng lisensya ng GPLv2.
Para sa mga interesadong ma-install ang modyul na ito, mahalagang banggitin na se nangangailangan ng isang kernel build directory naaayon sa Linux kernel image kung saan tatakbo ang module. Halimbawa, sa Debian at Ubuntu, maaari mong pangasiwaan ang kinakailangang imprastraktura ng build sa pamamagitan lamang ng pag-install ng mga linux-header:
sudo apt-get install linux-headers-$(uname -r )
Sa kaso ng mga pamamahagi, tulad ng RHEL, Fedora o mga pamamahagi batay sa mga ito, (at maging ang CentOS), ang package na i-install ay ang mga sumusunod:
sudo yum install kernel-devel
Para matuto pa tungkol dito pati na rin ang mga tagubilin sa compilation ay maaaring sumangguni sa impormasyon Sa sumusunod na link.