Проект Openwall нещодавно представив запуск нова версія модуля ядра "LKRG 0.9.2" (Linux Kernel Runtime Guard), який призначений для виявлення та блокування атак і порушень цілісності структур ядра.
LKRG наразі підтримує x86-64, x86 32-bit, AArch64 (ARM64) і ARM 32-bit
Архітектури процесора.
Про ЛКРГ
Як згадувалося, модуль LKRG sі відповідає за виконання перевірки цілісності під час виконання ядра Linux та виявлення вразливостей безпеки вибухає проти ядра. Наприклад, модуль може захистити від несанкціонованих змін запущеного ядра та спроб змінити дозволи користувальницьких процесів (за допомогою визначення використання експлойтів).
Модуль підходить як для організації захисту від експлойтів уже відомих уразливостей у ядрі Linux (наприклад, у ситуаціях, коли складно оновити ядро в системі), так і для протидії експлойтам поки що невідомих уразливостей.
Слід розуміти, що ЛКРГ є модулем ядра (не патч ядра), тому його можна компілювати та завантажувати на широкий спектр основних і розподільних ядер, без необхідності виправляти будь-яке з них.
Наразі модуль підтримує версії ядра, починаючи від RHEL7 (і його численних клонів/ревізій) і Ubuntu 16.04 до останніх основних і основних дистрибутивів.
Основні нові можливості LKRG 0.9.2
У цій новій версії, яка представлена, розробники згадують, що lСумісність гарантована з ядрами Linux 5.14-5.16-rc, а також з ядрами LTS 5.4.118+, 4.19.191+ і 4.14.233+.
На момент нашого попереднього випуску LKRG 0.9.1, Linux 5.12.x був останнє ядро. Нам пощастило, що він також працював як є на Linux 5.13.x і далі 5.10.x новіші ядра довгострокової серії. Проте станом на 5.14, а.с а також для 3 старіших довгострокових серій ядра, зазначених у журналі змін
Раніше ми повинні були внести зміни, щоб підтримувати нові версії ядра.
Щодо змін, які виділяються в новій версії, наголошується, що додана підтримка різних налаштувань CONFIG_SECCOMP, а також підтримка параметра ядра "nolkrg", щоб вимкнути LKRG під час завантаження.
Що стосується виправлень помилок, зазначається, що виправлено хибнопозитивний результат через стан гонки під час обробки SECOMP_FILTER_FLAG_TSYNC, на додаток до цього також виправлена підтримка конфігурації CONFIG_HAVE_STATIC_CALL в ядрах Linux 5.10+ (виправлені умови гонки при завантаженні інших модулів).
Крім того, гарантується, що імена заблокованих модулів при використанні параметра lkrg.block_modules = 1 зберігаються в реєстрі.
З інших змін що виділяються з цієї нової версії:
- Реалізовано розміщення параметрів sysctl у файлі /etc/sysctl.d/01-lkrg.conf
- Додано файл конфігурації dkms.conf для системи DKMS (Dynamic Kernel Module Support), який використовується для створення сторонніх модулів після оновлення ядра.
- Покращена й оновлена підтримка налагоджувальних збірок та систем безперервної інтеграції.
В кінці кінців якщо вам цікаво знати більше Про проект слід знати, що код проекту поширюється під ліцензією GPLv2.
Для тих, хто зацікавлений у можливості встановити цей модуль, важливо зазначити, що se потрібен каталог збірки ядра відповідний образу ядра Linux, в якому буде працювати модуль. Наприклад, у Debian та Ubuntu ви можете обробляти необхідну інфраструктуру збірки, просто встановивши заголовки linux:
sudo apt-get install linux-headers-$(uname -r )
У разі дистрибутивів, таких як RHEL, Fedora або дистрибутивів, заснованих на них, (і навіть CentOS), пакет для встановлення виглядає наступним чином:
sudo yum install kernel-devel
Щоб дізнатися більше про це а також інструкції зі складання можна ознайомитися з інформацією У наступному посиланні.