萨尔瓦多PROYECTO Openwall最近推出了 新版本的内核模块 “LKRG 0.9.2” (Linux Kernel Runtime Guard) 旨在检测和阻止攻击和违反内核结构完整性的行为。
LKRG 目前支持 x86-64、x86 32 位、AArch64 (ARM64) 和 ARM 32 位
CPU 架构。
关于 LKRG
如前所述,LKRG 模块并负责在 Linux 内核运行时执行完整性检查并检测安全漏洞 对内核爆炸。 例如,该模块可以防止对正在运行的内核进行未经授权的更改,并尝试更改用户进程的权限(通过确定漏洞的使用)。
该模块既适用于组织对 Linux 内核中已知漏洞的利用的保护(例如,在系统上难以更新内核的情况下),也适用于对抗仍然未知的漏洞的利用。
应该理解的是,LKRG 是一个内核模块 (不是内核补丁),因此它可以在各种主要和发行版内核上编译和加载,而无需对它们中的任何一个进行修补。
目前,该模块支持从 RHEL7(及其许多克隆/修订版)和 Ubuntu 16.04 到最新的主线和核心发行版的内核版本。
LKRG 0.9.2 的主要新特性
在呈现的这个新版本中,开发人员提到 l确保与 Linux 内核 5.14 到 5.16-rc 的兼容性, 以及 LTS 内核 5.4.118+、4.19.191+ 和 4.14.233+。
在我们之前的版本 LKRG 0.9.1 时,Linux 5.12.x 是 最后一个核心。 我们很幸运,它在 Linux 5.13.x 和 5.10.x 更新的长期系列内核。 但是,从 5.14 开始,作为 以及更新日志中列出的 3 个较旧的长期内核系列
早些时候,我们必须进行更改以支持那些较新的内核版本。
关于新版本中突出的变化,需要强调的是 添加了对各种 CONFIG_SECCOMP 设置的支持, 以及支持内核参数“nolkrg”在启动时禁用 LKRG。
在错误修复部分,提到 修复了 SECOMP_FILTER_FLAG_TSYNC 处理期间由于竞争条件导致的误报, 此外,还更正了 Linux 内核 5.10+ 中对 CONFIG_HAVE_STATIC_CALL 配置的支持(修复了下载其他模块时的竞争条件)。
此外,保证使用 lkrg.block_modules = 1 设置时被阻止的模块的名称保存在注册表中。
其他变化 从这个新版本中脱颖而出:
- 在 /etc/sysctl.d/01-lkrg.conf 文件中实现了 sysctl-settings 的放置
- 为 DKMS(Dynamic Kernel Module Support)系统添加了 dkms.conf 配置文件,用于在内核更新后创建第三方模块。
- 改进和更新了对调试构建和持续集成系统的支持。
最后 如果您有兴趣了解更多 关于项目,您应该知道项目代码是在 GPLv2 许可下分发的。
对于那些对能够安装此模块感兴趣的人,重要的是要提到 se 需要一个内核构建目录 对应于模块将在其中运行的 Linux 内核映像。 例如,在 Debian 和 Ubuntu 上,您只需安装 linux-headers 即可处理所需的构建基础架构:
sudo apt-get install linux-headers-$(uname -r )
对于发行版,例如 RHEL、Fedora 或基于这些发行版(甚至 CentOS),要安装的软件包如下:
sudo yum install kernel-devel
了解更多 以及编译说明可以查阅资料 在下面的链接中。