該項目 Openwall最近推出了 新版本的內核模塊 “LKRG 0.9.2” (Linux Kernel Runtime Guard) 旨在檢測和阻止攻擊和違反內核結構完整性的行為。
LKRG 目前支持 x86-64、x86 32 位、AArch64 (ARM64) 和 ARM 32 位
CPU 架構。
關於 LKRG
如前所述,LKRG 模塊並負責在 Linux 內核運行時執行完整性檢查並檢測安全漏洞 對內核爆炸。 例如,該模塊可以防止對正在運行的內核進行未經授權的更改,並嘗試更改用戶進程的權限(通過確定漏洞的使用)。
該模塊既適用於組織對 Linux 內核中已知漏洞的利用的保護(例如,在系統上難以更新內核的情況下),也適用於對抗仍然未知的漏洞的利用。
應該理解的是,LKRG 是一個內核模塊 (不是內核補丁),因此它可以在各種主要和發行版內核上編譯和加載,而無需對它們中的任何一個進行修補。
目前,該模塊支持從 RHEL7(及其許多克隆/修訂版)和 Ubuntu 16.04 到最新的主線和核心發行版的內核版本。
LKRG 0.9.2 的主要新特性
在呈現的這個新版本中,開發人員提到 l確保與 Linux 內核 5.14 到 5.16-rc 的兼容性, 以及 LTS 內核 5.4.118+、4.19.191+ 和 4.14.233+。
在我們之前的版本 LKRG 0.9.1 時,Linux 5.12.x 是 最後一個核心。 我們很幸運,它在 Linux 5.13.x 和 5.10.x 更新的長期系列內核。 但是,從 5.14 開始,作為 以及更新日誌中列出的 3 個較舊的長期內核系列
早些時候,我們必須進行更改以支持那些較新的內核版本。
關於新版本中突出的變化,需要強調的是 添加了對各種 CONFIG_SECCOMP 設置的支持, 以及支持內核參數“nolkrg”在啟動時禁用 LKRG。
在錯誤修復部分,提到 修復了 SECOMP_FILTER_FLAG_TSYNC 處理期間由於競爭條件導致的誤報, 此外,還更正了 Linux 內核 5.10+ 中對 CONFIG_HAVE_STATIC_CALL 配置的支持(修復了下載其他模塊時的競爭條件)。
此外,保證使用 lkrg.block_modules = 1 設置時被阻止的模塊的名稱保存在註冊表中。
其他變化 從這個新版本中脫穎而出:
- 在 /etc/sysctl.d/01-lkrg.conf 文件中實現了 sysctl-settings 的放置
- 為 DKMS(Dynamic Kernel Module Support)系統添加了 dkms.conf 配置文件,用於在內核更新後創建第三方模塊。
- 改進和更新了對調試構建和持續集成系統的支持。
終於 如果您有興趣了解更多 關於項目,您應該知道項目代碼是在 GPLv2 許可下分發的。
對於那些對能夠安裝此模塊感興趣的人,重要的是要提到 se 需要一個內核構建目錄 對應於模塊將在其中運行的 Linux 內核映像。 例如,在 Debian 和 Ubuntu 上,您只需安裝 linux-headers 即可處理所需的構建基礎架構:
sudo apt-get install linux-headers-$(uname -r )
對於發行版,例如 RHEL、Fedora 或基於這些發行版(甚至 CentOS),要安裝的軟件包如下:
sudo yum install kernel-devel
了解更多 以及編譯說明可以查閱資料 在下面的鏈接中。