El Projecte Openwall va donar a conèixer fa poc el llançament del mòdul del nucli LKRG 0.9.4 (Linux Kernel Runtime Guard), dissenyat per detectar i bloquejar atacs i violacions de la integritat de les estructures del nucli.
El LKRG està empaquetat com un mòdul de nucli carregable que intenta detectar canvis no autoritzats en un kernel en execució (verificació d'integritat) o canvis als permisos dels processos d'usuari (detecció de vulnerabilitats).
La verificació d'integritat es realitza basant-se en una comparació de hashes calculats per a les àrees de memòria més importants i les estructures de dades del nucli (IDT (Taula de descripció d'interrupcions), MSR, taules de trucades del sistema, tots els procediments i funcions, controladors d'interrupcions, llistes de mòduls carregats, contingut de la secció .text de mòduls, atributs de procés, etc.).
El procediment de verificació s'activa periòdicament mitjançant un temporitzador i quan es produeixen diversos esdeveniments al kernel (per exemple, quan s'executen trucades al sistema setuid, setreuid, fork, exit, execve, do_init_module, etc.).
Sobre Linux Kernel Runtime Guard
La detecció del possible ús d'exploits i el bloqueig d'atacs es fan a l'etapa anterior al fet que el kernel proporcioni accés als recursos (per exemple, abans d'obrir un fitxer), però després que el procés hagi rebut permisos no autoritzats ( per exemple, canviant l'UID ).
Quan es detecta un comportament no autoritzat dels processos, s'acaben per la força, cosa que és suficient per bloquejar molts exploits. Atès que el projecte es troba en etapa de desenvolupament i encara no s'han fet optimitzacions, els costos generals d'operació del mòdul són d'aproximadament 6.5%, però en el futur es planeja reduir significativament aquesta xifra.
el mòdul és adequat tant per a organitzar la protecció contra gestes ja coneguts per al nucli de Linux com per contrarestar els exploits de vulnerabilitats encara desconegudes, si no utilitzen mesures especials per eludir LKRG.
Els autors no exclouen la presència d'errors al codi LKRG i possibles falsos positius, per la qual cosa es convida els usuaris a comparar els riscos de possibles errors a LKRG amb els beneficis del mètode de protecció proposat.
De les propietats positives de LKRG, s'observa que el mecanisme de protecció es realitza en forma d'un mòdul carregable, i no d'un pegat per al nucli, cosa que en permet l'ús amb nuclis de distribució regulars.
Principals novetats de LKRG 0.9.4
En aquesta nova versió que es presenta del mòdul es destaca que es va afegir suport per al sistema d'inici OpenRC, així com també que es van agregar instruccions d'instal·lació usant DKMS.
Un altre dels canvis que es destaca d'aquesta nova versió és que es proporciona compatibilitat amb LTS-kernels de Linux 5.15.40+.
A més, també es destaca que el disseny de la sortida de missatges al registre s'ha redissenyat per simplificar l'anàlisi automatitzada i facilitar la percepció durant l'anàlisi manual i que els missatges LKRG tenen les seves pròpies categories de registre, cosa que facilita separar-los de la resta. dels missatges del nucli.
D'altra banda, també s'esmenta que es va canviar el nom del mòdul del nucli de p_lkrg a lkrg i que la versió anterior de LKRG 0.9.3 és encara funcional a les versions més noves del nucli (5.19-rc* fins ara). No obstant això, per compatibilitat amb Kernels 5.15.40+ a llarg termini, no ho és pel que cal aplicar alguns canvis realitzats a la versió 0.9.4.
També s'esmenta que s'estan considerant alguns canvis relacionats (però probablement diferents) per a la seva inclusió a LKRG d'autodefensa, per exemple, la configuració de temps d'execució està en una pàgina de memòria que només es manté lectura la major part del temps, entre d'altres millores.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls al següent enllaç.
En particular, el mòdul ha estat provat amb el nucli RHEL, OpenVZ/Virtuozzo i Ubuntu. En el futur serà possible organitzar el procés de generació de compilacions amb compatibilitat a nivell binari per a diferents distribucions populars.