Ang LKRG, isang module na idinisenyo upang makita at harangan ang mga pag-atake at paglabag sa Linux Kernel

Darkcrizt

4 Minutos

Ang proyekto Inilabas ng Openwall ang paglabas ng LKRG 0.8 kernel module (Linux Kernel Runtime Guard), idinisenyo upang makita at hadlangan ang mga pag-atake y mga paglabag sa integridad ng mga pangunahing istraktura.

Ang modyul angkop ito kapwa para sa pag-aayos ng proteksyon laban sa mga kilalang pagsasamantala para sa kernel ng Linux (halimbawa, sa mga sitwasyon kung saan may problema ang pag-update ng kernel sa system), para sa pagtutol sa mga pagsasamantala para sa hindi kilalang kahinaan.

Ano ang bagong LKRG 0.8?

Sa bagong bersyon na ito ang pagpoposisyon ng proyekto ng LKRG ay binago, ano angAng oras ay hindi nahahati sa magkakahiwalay na mga subsystem upang mapatunayan ang integridad at matukoy ang paggamit ng mga pagsasamantala, ngunit ito ay ipinakita bilang isang kumpletong produkto upang makilala ang mga pag-atake at iba't ibang mga paglabag sa integridad;

Tungkol sa pagiging tugma, ng bagong bersyon na ito, maaari naming malaman na ito ay katugma sa mga Linux kernels mula 5.3 hanggang 5.7pati na rin ang mga kernel na pinagsama-sama sa agresibong mga pag-optimize ng GCC, nang walang mga pagpipilian CONFIG_USB at CONFIG_STACKTRACE o may pagpipilian CONFIG_UNWINDER_ORCpati na rin sa mga kernel kung saan walang mga pagpapaandar na naharang ng LKRG kung maaari mong gawin nang wala.

Bilang karagdagan sa pang-eksperimentong suporta para sa 32-bit na mga platform ng ARM (nasubukan sa Raspberry Pi 3 Model B), habang para sa mas maagang magagamit na suporta para sa AArch64 (ARM64) ay kinumpleto ng pagiging tugma sa Raspberry Pi 4.

Bukod dito, bagong mga kawit ay naidagdag, na nagsasama ng isang "hook ()" na handler ng tawag upang mas mahusay na makilala ang mga kahinaan na manipulahin ng "mga kakayahan", kaysa sa proseso ng mga pagkakakilala.

Sa x86-64 system, ang SMAP bit ay nasuri at inilapat (Pag-iwas sa pag-access sa mode ng superbisor), didinisenyo upang harangan ang pag-access sa data sa puwang ng gumagamit mula sa privilege code na naisakatuparan sa antas ng kernel. Ang proteksyon ng SMEP (Supervisor Mode Execut Prevention) ay naipatupad nang mas maaga.

Ito ay naging nadagdagan ang kakayahang sumukat ng proseso ng pagsubaybay sa database: sa halip na isang solong puno ng RB na protektado ng isang spinlock, isang hash table na 512 RB na mga puno ang kasangkot, protektado ng 512 na basahin at isulat ang mga kandado, ayon sa pagkakabanggit;

Ang isang default mode ay ipinatupad at pinagana, kung saan ang integridad ng tseke ng mga identifier Ang pagpoproseso ay madalas na ginanap lamang para sa kasalukuyang gawain, at opsyonal din para sa mga na-trigger na gawain (gumising). Para sa iba pang mga gawain na nasa isang nasuspindeng estado o na gumana nang walang isang tawag na kernel API na kinokontrol ng LKRG, ang pagpapatunay ay ginaganap nang mas madalas.

Bilang karagdagan sa Ang file ng systemd unit ay muling idisenyo upang mai-load ang module ng LKRG sa isang maagang yugto ng paglo-load (maaaring magamit ang pagpipilian ng linya ng utos ng kernel upang hindi paganahin ang module);

Sa panahon ng pagtitipon, ang ilan sa mga sapilitan CONFIG_ * setting ng kernel ay nasuri upang makabuo ng mga makahulugang mensahe ng error sa halip na maitago ang mga pagkakamali.

Sa iba pang mga pagbabago na tumatayo sa bagong bersyon na ito:

  • Nagdagdag ng suporta para sa mga mode ng Standby (ACPI S3, Suspend to RAM) at Suspend (S4, suspindihin sa Disk).
  • Nagdagdag ng suporta para sa DKMS sa Makefile.
  • Iminungkahi ang bagong lohika upang matukoy ang mga pagtatangka upang makaalis sa mga paghihigpit sa namespace (halimbawa, mula sa mga lalagyan ng Docker).
  • Sa proseso, ang pagsasaayos ng LKRG ay nakalagay sa isang pahina ng memorya, karaniwang read-only.
  • Ang output sa mga log ng impormasyon na maaaring maging pinaka-kapaki-pakinabang para sa mga pag-atake (halimbawa, address ng impormasyon sa kernel) ay limitado ng debug mode (log_level = 4 at mas mataas), na hindi pinagana bilang default.
  • Ang mga bagong sysctl at module na parameter ay naidagdag upang ibagay ang LKRG, pati na rin ang dalawang sysctl para sa pinasimple na pagsasaayos sa pamamagitan ng pagpili mula sa mga profile na inihanda ng mga developer.
  • Ang mga setting ng default ay binago upang makamit ang isang mas balanseng balanse sa pagitan ng bilis ng pagtuklas ng paglabag at ang pagiging epektibo ng reaksyon, sa isang banda, at ang epekto sa pagiging produktibo at ang panganib ng maling mga positibo sa isa pa.
  • Ayon sa mga pag-optimize na iminungkahi sa bagong bersyon, ang pagbawas ng pagganap kapag naglalapat ng LKRG 0.8 ay tinatayang 2.5% sa default mode ("mabigat") at 2% sa light mode ("light").

Kung nais mong malaman ang tungkol dito, maaari kang kumunsulta mga detalye dito 


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.