Dự án Openwall đã phát hành bản phát hành mô-đun hạt nhân LKRG 0.8 (Bảo vệ thời gian chạy nhân Linux), được thiết kế để phát hiện và chặn các cuộc tấn công y vi phạm tính toàn vẹn của cấu trúc cốt lõi.
Các mô-đun nó phù hợp cho cả việc tổ chức bảo vệ chống lại các hành vi khai thác đã biết đối với hạt nhân Linux (ví dụ: trong các tình huống mà việc cập nhật hạt nhân trên hệ thống có vấn đề), như đối với việc khai thác đối với các lỗ hổng không xác định.
LKRG 0.8 có gì mới?
Trong phiên bản mới này vị trí của dự án LKRG đã được thay đổi, làm gìgiờ không được chia thành các hệ thống con riêng biệt để xác minh tính toàn vẹn và xác định việc sử dụng các khai thác, nhưng nó được trình bày như một sản phẩm hoàn chỉnh để xác định các cuộc tấn công và các vi phạm toàn vẹn khác nhau;
Về khả năng tương thích, của phiên bản mới này, chúng ta có thể thấy rằng nó tương thích với các nhân Linux từ 5.3 đến 5.7cũng như các hạt nhân được biên dịch với các tính năng tối ưu hóa GCC tích cực, không có các tùy chọn CONFIG_USB và CONFIG_STACKTRACE hoặc với tùy chọn CONFIG_UNWINDER_ORCcũng như với các hạt nhân không có chức năng nào bị LKRG chặn nếu bạn có thể thực hiện mà không có.
Ngoài các hỗ trợ thử nghiệm cho nền tảng ARM 32-bit (được thử nghiệm trên Raspberry Pi 3 Model B), trong khi hỗ trợ sẵn có trước đó cho AArch64 (ARM64) được bổ sung bởi khả năng tương thích với Raspberry Pi 4.
Hơn nữa, móc mới đã được thêm vào, bao gồm một trình xử lý cuộc gọi "hook ()" để xác định tốt hơn các lỗ hổng được thao tác bởi "các khả năng", thay vì các số nhận dạng quy trình.
Trên hệ thống x86-64, bit SMAP được kiểm tra và áp dụng (Ngăn chặn truy cập trong chế độ giám sát), dđược thiết kế để chặn quyền truy cập vào dữ liệu trong không gian người dùng từ mã đặc quyền được thực thi ở cấp hạt nhân. Bảo vệ SMEP (Ngăn chặn thực thi chế độ giám sát) đã được triển khai trước đó.
Nó đã được tăng khả năng mở rộng của cơ sở dữ liệu theo dõi quá trình: thay vì một cây RB duy nhất được bảo vệ bởi một spinlock, một bảng băm gồm 512 cây RB được tham gia, được bảo vệ bởi 512 khóa đọc và ghi tương ứng;
Chế độ mặc định được triển khai và kích hoạt, trong đó kiểm tra tính toàn vẹn của số nhận dạng Quá trình xử lý thường chỉ được thực hiện cho tác vụ hiện tại và cũng có thể tùy chọn cho các tác vụ được kích hoạt (đánh thức). Đối với các tác vụ khác ở trạng thái tạm ngừng hoặc chức năng đó không có lệnh gọi API hạt nhân được kiểm soát bởi LKRG, việc xác minh được thực hiện ít thường xuyên hơn.
Ngoài các tệp đơn vị systemd đã được thiết kế lại để tải mô-đun LKRG ở giai đoạn đầu của quá trình tải (tùy chọn dòng lệnh hạt nhân có thể được sử dụng để vô hiệu hóa mô-đun);
Trong quá trình biên dịch, một số cài đặt hạt nhân CONFIG_ * bắt buộc đã được kiểm tra để tạo ra các thông báo lỗi có ý nghĩa chứ không phải là các lỗi bị che khuất.
Những thay đổi khác nổi bật trong phiên bản mới này:
- Đã thêm hỗ trợ cho các chế độ Chờ (ACPI S3, Treo vào RAM) và Tạm dừng (S4, Treo vào Đĩa).
- Đã thêm hỗ trợ cho DKMS trong Makefile.
- Logic mới được đề xuất để xác định nỗ lực thoát ra khỏi các hạn chế của không gian tên (ví dụ: từ vùng chứa Docker).
- Trong quá trình này, cấu hình LKRG được đặt trên một trang của bộ nhớ, thường là chỉ đọc.
- Đầu ra cho các bản ghi thông tin có thể hữu ích nhất cho các cuộc tấn công (ví dụ: thông tin địa chỉ trong hạt nhân) bị giới hạn bởi chế độ gỡ lỗi (log_level = 4 trở lên), chế độ này bị tắt theo mặc định.
- Các tham số mô-đun và sysctl mới đã được thêm vào để điều chỉnh LKRG, cũng như hai sysctl để cấu hình đơn giản hóa bằng cách chọn từ các cấu hình do các nhà phát triển chuẩn bị.
- Các cài đặt mặc định được thay đổi để đạt được sự cân bằng hơn giữa tốc độ phát hiện vi phạm và hiệu quả của phản ứng, mặt khác là tác động đến năng suất và nguy cơ dương tính giả.
- Theo các tối ưu hóa được đề xuất trong phiên bản mới, hiệu suất giảm khi áp dụng LKRG 0.8 ước tính khoảng 2.5% ở chế độ mặc định ("nặng") và 2% ở chế độ nhẹ ("nhẹ").
Nếu bạn muốn biết thêm về nó, bạn có thể tham khảo chi tiết tại đây.