El Proyecto Openwall nedávno oznámil vydání modulu jádra LKRG 0.9.4 (Linux Kernel Runtime Guard), určený k detekci a blokování útoků a narušení integrity struktur jádra.
LKRG je zabalen jako zaváděcí modul jádra, který se pokouší detekovat neoprávněné změny v běžícím jádru (kontrola integrity) nebo změny v oprávněních uživatelských procesů (detekce zranitelnosti).
Kontrola integrity se provádí na základě porovnání vypočtených hashů pro nejdůležitější paměťové oblasti a datové struktury jádra (IDT (Interrupt Description Table), MSR, tabulky systémových volání, všechny procedury a funkce, obsluhy přerušení, seznamy načtených modulů, obsah části .text modulů, procesních atributů atd.).
Ověřovací postup se periodicky aktivuje pomocí časovače a když nastanou různé události jádra (například když se provedou systémová volání setuid, setreuid, fork, exit, execve, do_init_module atd.).
O Linux Kernel Runtime Guard
Detekce možného použití exploitů a blokování útoků se provádí ve fázi předtím, než jádro poskytne přístup ke zdrojům (například před otevřením souboru), ale poté, co byla procesu udělena neoprávněná oprávnění (například změna UID) .
Když je zjištěno neoprávněné chování procesů, jsou násilně ukončeny, což stačí k zablokování mnoha exploitů. Vzhledem k tomu, že projekt je ve fázi vývoje a ještě nebyly provedeny optimalizace, jsou celkové provozní náklady modulu přibližně 6.5 %, ale do budoucna je plánováno toto číslo výrazně snížit.
Modul je vhodný jak pro organizaci ochrany proti již známým exploitům pro linuxové jádro jak čelit zneužití dosud neznámých zranitelností, pokud nepoužijí speciální opatření k obcházení LKRG.
Autoři nevylučují přítomnost chyb v kódu LKRG a možné falešné poplachy, proto jsou uživatelé vyzváni, aby porovnali rizika možných chyb v LKRG s přínosy navrhované metody ochrany.
Z pozitivních vlastností LKRG je třeba poznamenat, že ochranný mechanismus je vyroben ve formě zaváděcího modulu, a nikoli kernel patch, což umožňuje jeho použití s běžnými distribučními jádry.
Hlavní nové funkce LKRG 0.9.4
V této nové verzi modulu, který je prezentován, je to zdůrazněno přidána podpora pro zaváděcí systém OpenRC, stejně jako přidání pokynů k instalaci pomocí DMMS.
Další změnou, která v této nové verzi vyniká, je ta poskytuje kompatibilitu s jádry LTS z Linuxu 5.15.40+.
Kromě toho je také zdůrazněno, že design výstupu zpráv do protokolu byl přepracován, aby se zjednodušila automatizovaná analýza a usnadnilo vnímání během manuální analýzy, a že zprávy LKRG mají své vlastní kategorie protokolu, což usnadňuje jejich oddělení od zbytek zpráv jádra.
Na druhou stranu se také uvádí, že změnil název modulu jádra z p_lkrg na lkrg a že stará verze LKRG 0.9.3 je stále funkční v novějších verzích jádra (zatím 5.19-rc*). Pro dlouhodobou kompatibilitu s jádry 5.15.40+ to však není, takže je nutné použít některé změny provedené ve verzi 0.9.4.
To je také uvedeno některé změny se zvažují související (ale pravděpodobně odlišné) pro zařazení do sebeobrany LKRG, například jeho konfigurace běhového prostředí je na paměťové stránce, která je většinu času udržována pouze pro čtení, kromě jiných vylepšení.
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti v následující odkaz.
Konkrétně byl modul testován s jádrem RHEL, OpenVZ/Virtuozzo a Ubuntu. V budoucnu bude možné organizovat proces sestavování s binární kompatibilitou pro různé populární distribuce.