Το έργο Η Openwall ανακοίνωσε πρόσφατα την κυκλοφορία της μονάδας πυρήνα LKRG 0.9.4 (Linux Kernel Runtime Guard), σχεδιασμένο να ανιχνεύει και να αποκλείει επιθέσεις και παραβιάσεις της ακεραιότητας των δομών του πυρήνα.
Το LKRG συσκευάζεται ως μια μονάδα πυρήνα με δυνατότητα φόρτωσης που προσπαθεί να ανιχνεύσει μη εξουσιοδοτημένες αλλαγές σε έναν πυρήνα που εκτελείται (έλεγχος ακεραιότητας) ή αλλαγές στα δικαιώματα των διεργασιών χρήστη (ανίχνευση ευπάθειας).
Ο έλεγχος ακεραιότητας πραγματοποιείται με βάση μια σύγκριση υπολογισμένων κατακερματισμών για τις πιο σημαντικές περιοχές μνήμης και δομές δεδομένων πυρήνα (IDT (Πίνακας Περιγραφής Διακοπών), MSR, πίνακες κλήσεων συστήματος, όλες οι διαδικασίες και λειτουργίες, χειριστές διακοπής, λίστες φορτωμένων μονάδων, περιεχόμενα της ενότητας .text των λειτουργικών μονάδων, χαρακτηριστικών διεργασίας κ.λπ.).
Η διαδικασία επαλήθευσης ενεργοποιείται περιοδικά μέσω χρονοδιακόπτη και όταν συμβαίνουν διάφορα συμβάντα πυρήνα (για παράδειγμα, όταν εκτελούνται κλήσεις συστήματος setuid, setreuid, fork, exit, execve, do_init_module, κ.λπ.).
Σχετικά με το Linux Kernel Runtime Guard
Η ανίχνευση της πιθανής χρήσης εκμεταλλεύσεων και ο αποκλεισμός των επιθέσεων εκτελούνται στο στάδιο πριν από τον πυρήνα να παράσχει πρόσβαση σε πόρους (για παράδειγμα, πριν από το άνοιγμα ενός αρχείου), αλλά αφού η διαδικασία έχει λάβει μη εξουσιοδοτημένα δικαιώματα (για παράδειγμα, αλλαγή του UID ) .
Όταν εντοπίζεται μη εξουσιοδοτημένη συμπεριφορά διεργασιών, τερματίζονται αναγκαστικά, κάτι που αρκεί για να μπλοκάρει πολλά exploit. Δεδομένου ότι το έργο βρίσκεται στο στάδιο ανάπτυξης και δεν έχουν γίνει ακόμη βελτιστοποιήσεις, το συνολικό κόστος λειτουργίας της μονάδας είναι περίπου 6.5%, αλλά στο μέλλον σχεδιάζεται να μειωθεί σημαντικά αυτό το ποσοστό.
Η ενότητα Είναι κατάλληλο τόσο για την οργάνωση της προστασίας έναντι ήδη γνωστών εκμεταλλεύσεων για τον πυρήνα του Linux ως προς την αντιμετώπιση των εκμεταλλεύσεων άγνωστων ακόμη τρωτών σημείων, εάν δεν χρησιμοποιούν ειδικά μέτρα για την παράκαμψη του LKRG.
Οι συγγραφείς δεν αποκλείουν την παρουσία σφαλμάτων στον κωδικό LKRG και πιθανά ψευδώς θετικά στοιχεία, Ως εκ τούτου, οι χρήστες καλούνται να συγκρίνουν τους κινδύνους πιθανών σφαλμάτων στο LKRG με τα οφέλη της προτεινόμενης μεθόδου προστασίας.
Από τις θετικές ιδιότητες του LKRG, σημειώνεται ότι ο μηχανισμός προστασίας είναι κατασκευασμένος με τη μορφή μιας μονάδας με δυνατότητα φόρτωσης και όχι ενός κώδικα πυρήνα, που του επιτρέπει να χρησιμοποιείται με πυρήνες κανονικής διανομής.
Κύρια νέα χαρακτηριστικά του LKRG 0.9.4
Σε αυτή τη νέα έκδοση της ενότητας που παρουσιάζεται, επισημαίνεται ότι προστέθηκε υποστήριξη για το σύστημα εκκίνησης OpenRC, καθώς και προσθήκη οδηγιών εγκατάστασης χρησιμοποιώντας DMMS.
Μια άλλη αλλαγή που ξεχωρίζει σε αυτή τη νέα έκδοση είναι αυτή παρέχει συμβατότητα με πυρήνες LTS από το Linux 5.15.40+.
Επιπλέον, επισημαίνεται επίσης ότι ο σχεδιασμός της εξόδου μηνυμάτων στο αρχείο καταγραφής έχει επανασχεδιαστεί για να απλοποιήσει την αυτοματοποιημένη ανάλυση και να διευκολύνει την αντίληψη κατά τη μη αυτόματη ανάλυση και ότι τα μηνύματα LKRG έχουν τις δικές τους κατηγορίες αρχείων καταγραφής, γεγονός που διευκολύνει τον διαχωρισμό τους από τα υπόλοιπα μηνύματα του πυρήνα.
Από την άλλη πλευρά, αναφέρεται επίσης ότι άλλαξε το όνομα της μονάδας πυρήνα από p_lkrg σε lkrg και ότι η παλιά έκδοση του LKRG 0.9.3 είναι ακόμα λειτουργική σε νεότερες εκδόσεις πυρήνα (5.19-rc* μέχρι στιγμής). Ωστόσο, για μακροπρόθεσμη συμβατότητα με τους πυρήνες 5.15.40+, δεν είναι απαραίτητο να εφαρμοστούν ορισμένες αλλαγές που έγιναν στην έκδοση 0.9.4.
Αναφέρεται επίσης ότι κάποιες αλλαγές εξετάζονται σχετικό (αλλά μάλλον διαφορετικό) για ένταξη στην αυτοάμυνα του LKRG, για παράδειγμα, η διαμόρφωσή του χρόνου εκτέλεσης βρίσκεται σε μια σελίδα μνήμης που διατηρείται μόνο για ανάγνωση τις περισσότερες φορές, μεταξύ άλλων βελτιώσεων.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.
Συγκεκριμένα, το module έχει δοκιμαστεί με τον πυρήνα RHEL, το OpenVZ/Virtuozzo και το Ubuntu. Στο μέλλον θα είναι δυνατή η οργάνωση της διαδικασίας κατασκευής με δυαδική συμβατότητα για διαφορετικές δημοφιλείς διανομές.