المشروع أعلن Openwall مؤخرًا عن إصدار وحدة نواة LKRG 0.9.4 (Linux Kernel Runtime Guard) ، المصمم لاكتشاف ومنع الهجمات والانتهاكات لسلامة هياكل النواة.
يتم حزم LKRG بتنسيق وحدة kernel قابلة للتحميل تحاول اكتشاف التغييرات غير المصرح بها في نواة قيد التشغيل (فحص التكامل) أو تغييرات في أذونات عمليات المستخدم (اكتشاف الثغرات الأمنية).
يتم إجراء فحص السلامة بناءً على مقارنة التجزئات المحسوبة لأهم مناطق الذاكرة وهياكل بيانات النواة (IDT (جدول وصف المقاطعة) و MSR وجداول استدعاء النظام وجميع الإجراءات والوظائف ومعالجات المقاطعة وقوائم الوحدات المحملة والمحتويات في القسم النصي من الوحدات النمطية ، وسمات العملية ، وما إلى ذلك).
يتم تنشيط إجراء التحقق بشكل دوري عن طريق جهاز توقيت وعند حدوث أحداث kernel مختلفة (على سبيل المثال ، عند تنفيذ استدعاءات النظام setuid و setreuid و fork و exit و execve و do_init_module وما إلى ذلك).
حول Linux Kernel Runtime Guard
يتم إجراء الكشف عن الاستخدام المحتمل لعمليات الاستغلال وحظر الهجمات في المرحلة التي تسبق أن توفر النواة الوصول إلى الموارد (على سبيل المثال ، قبل فتح ملف) ، ولكن بعد منح العملية أذونات غير مصرح بها (على سبيل المثال ، تغيير UID) .
عند اكتشاف سلوك غير مصرح به للعمليات ، يتم إنهاؤها قسرًا ، وهو ما يكفي لمنع العديد من عمليات الاستغلال. نظرًا لأن المشروع في مرحلة التطوير ولم يتم إجراء التحسينات بعد ، فإن تكاليف التشغيل الإجمالية للوحدة تبلغ حوالي 6.5 ٪ ، ولكن في المستقبل من المخطط تقليل هذا الرقم بشكل كبير.
وحدة إنها مناسبة لتنظيم الحماية ضد الثغرات المعروفة بالفعل لنواة لينكس لمواجهة عمليات استغلال الثغرات الأمنية غير المعروفة حتى الآن ، إذا لم يستخدموا تدابير خاصة للتحايل على LKRG.
لا يستبعد المؤلفون وجود أخطاء في رمز LKRG وإيجابيات خاطئة محتملة ، لذلك ، فإن المستخدمين مدعوون لمقارنة مخاطر الأخطاء المحتملة في LKRG مع فوائد طريقة الحماية المقترحة.
من الخصائص الإيجابية لـ LKRG ، يلاحظ أن آلية الحماية مصنوعة في شكل وحدة قابلة للتحميل ، وليس رقعة النواة ، مما يسمح باستخدامها مع نواة التوزيع المنتظمة.
الميزات الرئيسية الجديدة لـ LKRG 0.9.4
في هذا الإصدار الجديد من الوحدة التي تم تقديمها ، تم تسليط الضوء على أن إضافة دعم لنظام التمهيد OpenRC، وكذلك إضافة تعليمات التثبيت باستخدام DMMS.
تغيير آخر يبرز في هذا الإصدار الجديد هو ذلك يوفر التوافق مع نواة LTS من Linux 5.15.40+.
بالإضافة إلى ذلك ، تم تسليط الضوء أيضًا على إعادة تصميم تصميم إخراج الرسالة إلى السجل لتبسيط التحليل الآلي وتسهيل الإدراك أثناء التحليل اليدوي وأن رسائل LKRG لها فئات سجل خاصة بها ، مما يسهل فصلها عن باقي رسائل kernel.
من ناحية أخرى ، تم ذكر ذلك أيضًا تم تغيير اسم وحدة kernel من p_lkrg إلى lkrg وأن لا يزال الإصدار القديم من LKRG 0.9.3 يعمل في إصدارات kernel الأحدث (5.19-rc * حتى الآن). ومع ذلك ، من أجل التوافق طويل المدى مع Kernels 5.15.40+ ، لا يجب تطبيق بعض التغييرات التي تم إجراؤها في الإصدار 0.9.4.
كما يذكر أن بعض التغييرات قيد النظر ذات صلة (لكنها مختلفة على الأرجح) لإدراجها في الدفاع عن النفس LKRG ، على سبيل المثال ، يكون تكوين وقت التشغيل الخاص به في صفحة ذاكرة يتم الاحتفاظ بها للقراءة فقط معظم الوقت ، من بين تحسينات أخرى.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.
على وجه الخصوص ، تم اختبار الوحدة باستخدام RHEL kernel و OpenVZ / Virtuozzo و Ubuntu. في المستقبل سيكون من الممكن تنظيم عملية البناء مع التوافق الثنائي للتوزيعات الشائعة المختلفة.