proje Openwall, LKRG 0.8 çekirdek modülü sürümünü yayınladı (Linux Çekirdeği Çalışma Zamanı Koruması), saldırıları tespit etmek ve engellemek için tasarlanmış y çekirdek yapıların bütünlüğünün ihlalleri.
Modül hem zaten bilinen istismarlara karşı korumayı organize etmek için uygundur Linux çekirdeği için (örneğin, sistem üzerinde çekirdeği güncellemenin sorunlu olduğu durumlarda), bilinmeyen güvenlik açıkları için istismarlara karşı gelince.
Yeni LKRG 0.8 nedir?
Bu yeni versiyonda LKRG projesinin konumu değiştirildi, Neyesaat ayrı alt sistemlere bölünmemiştir bütünlüğü doğrulamak ve istismarların kullanımını belirlemek için, ancak eksiksiz bir ürün olarak sunulur saldırıları ve çeşitli bütünlük ihlallerini tespit etmek;
Bu yeni sürümün uyumluluğu ile ilgili olarak, 5.3'ten 5.7'ye kadar Linux çekirdekleriyle uyumlu olduğunu görebilirizseçenekler olmadan agresif GCC optimizasyonları ile derlenen çekirdekler gibi CONFIG_USB ve CONFIG_STACKTRACE veya seçenekle CONFIG_UNWINDER_ORCve eğer onsuz yapabiliyorsanız, LKRG tarafından yakalanan hiçbir işlevin olmadığı çekirdeklerde.
Ek olarak 32 bit ARM platformları için deneysel destek (Raspberry Pi 3 Model B'de test edildi), AArch64 (ARM64) için daha önceki mevcut destek için Raspberry Pi 4 ile uyumluluk ile tamamlanmaktadır.
Ayrıca, yeni kancalar eklendi, işlem tanımlayıcıları yerine "yetenekler" tarafından manipüle edilen güvenlik açıklarını daha iyi tanımlamak için bir "kanca ()" çağrı işleyicisi içerir.
X86-64 sistemlerinde, SMAP biti kontrol edilir ve uygulanır (Gözetmen modunda erişimin engellenmesi), dkullanıcı alanındaki verilere erişimi engellemek için tasarlanmış çekirdek düzeyinde yürütülen ayrıcalıklı koddan. SMEP (Supervisor Mode Execution Prevention) koruması daha önce uygulanmıştı.
Olmuştur süreç izleme veritabanının artırılmış ölçeklenebilirliği: bir spinlock tarafından korunan tek bir RB ağacı yerine, sırasıyla 512 okuma ve yazma kilidi ile korunan 512 RB ağacından oluşan bir hash tablosu yer alır;
Varsayılan bir mod uygulanır ve etkinleştiriliriçinde tanımlayıcıların bütünlük kontrolü İşleme genellikle yalnızca mevcut görev için ve ayrıca isteğe bağlı olarak tetiklenen görevler için (uyanma) gerçekleştirilir. Askıya alınmış durumda olan veya LKRG kontrollü bir çekirdek API çağrısı olmadan çalışan diğer görevler için doğrulama daha seyrek gerçekleştirilir.
Buna ek olarak systemd birim dosyası yeniden tasarlandı LKRG modülünü yüklemenin erken bir aşamasında yüklemek için (çekirdek komut satırı seçeneği modülü devre dışı bırakmak için kullanılabilir);
Derleme sırasında, bazı zorunlu CONFIG_ * çekirdek ayarları, belirsiz hatalar yerine anlamlı hata mesajları üretmek için kontrol edildi.
Bu yeni sürümde öne çıkan diğer değişikliklerden:
- Bekleme (ACPI S3, RAM'de Askıya Alma) ve Askıya Alma (S4, Diskte Askıya Alma) modları için destek eklendi.
- Makefile'da DKMS desteği eklendi.
- Ad alanı kısıtlamalarından (örneğin, Docker konteynerlerinden) çıkma girişimlerini belirlemek için yeni mantık önerilmiştir.
- Süreçte, LKRG yapılandırması genellikle salt okunur olan bir bellek sayfasına yerleştirilir.
- Saldırılar için en yararlı olabilecek bilgi günlüklerinin çıktısı (örneğin, çekirdekteki adres bilgileri), varsayılan olarak devre dışı bırakılan hata ayıklama modu (log_level = 4 ve üstü) ile sınırlıdır.
- LKRG'yi ayarlamak için yeni sysctl ve modül parametreleri ve geliştiriciler tarafından hazırlanan profiller arasından seçim yapılarak basitleştirilmiş konfigürasyon için iki sysctl eklenmiştir.
- Varsayılan ayarlar, bir yandan ihlal tespit hızı ile tepkinin etkinliği, diğer yandan üretkenlik üzerindeki etki ve yanlış pozitif riski arasında daha dengeli bir denge elde etmek için değiştirilir.
- Yeni sürümde önerilen optimizasyonlara göre, LKRG 0.8 uygulandığında performans düşüşünün varsayılan modda ("ağır")% 2.5 ve hafif modda ("hafif")% 2 olduğu tahmin edilmektedir.
Bunun hakkında daha fazla bilgi edinmek istiyorsanız, danışabilirsiniz. ayrıntılar burada.