El proyecto Openwall teatas hiljuti LKRG 0.9.4 kernelimooduli väljalaskmisest (Linux Kernel Runtime Guard), mis on loodud rünnakute ja tuumastruktuuride terviklikkuse rikkumiste tuvastamiseks ja blokeerimiseks.
LKRG on pakendatud kujul laaditav kerneli moodul, mis püüab tuvastada volitamata muudatusi töötavas kernelis (terviklikkuse kontroll) või muudatused kasutajaprotsesside lubades (haavatavuse tuvastamine).
Terviklikkuse kontroll tehakse kõige olulisemate mälupiirkondade ja kerneli andmestruktuuride (IDT (katkestuse kirjeldustabel), MSR, süsteemikutsete tabelid, kõik protseduurid ja funktsioonid, katkestuste töötlejad, laetud moodulite loendid, sisud) arvutatud räside võrdluse põhjal. moodulite, protsessiatribuutide jne jaotisest .text).
Kinnitusprotseduur aktiveeritakse perioodiliselt taimeri abil ja kui toimuvad erinevad kerneli sündmused (näiteks kui käivitatakse süsteemikutsed setuid, setreuid, fork, exit, execve, do_init_module jne).
Linux Kernel Runtime Guardi kohta
Võimaliku ärakasutamise tuvastamine ja rünnakute blokeerimine toimub etapis enne, kui kernel annab juurdepääsu ressurssidele (näiteks enne faili avamist), kuid pärast seda, kui protsessile on antud volitamata õigused (näiteks UID muutmine) .
Kui tuvastatakse protsesside volitamata käitumine, lõpetatakse need sunniviisiliselt, millest piisab paljude ärakasutamiste blokeerimiseks. Kuna projekt on arendusjärgus ja optimeerimisi pole veel tehtud, siis on mooduli üldised ekspluatatsioonikulud ligikaudu 6.5%, kuid edaspidi on plaanis seda näitajat oluliselt vähendada.
mooduli see sobib nii kaitse korraldamiseks juba teadaolevate ekspluateerimiste eest Linuxi tuuma jaoks veel tundmatute turvaaukude ärakasutamise vastu, kui nad ei kasuta LKRG-st kõrvalehoidmiseks erimeetmeid.
Autorid ei välista vigade esinemist LKRG koodis ja võimalikke valepositiivseid tulemusi, seetõttu kutsutakse kasutajaid üles võrdlema LKRG võimalike vigade riske pakutud kaitsemeetodi eelistega.
LKRG positiivsetest omadustest tuleb märkida, et kaitsemehhanism on valmistatud laaditava mooduli, mitte kerneli plaastri kujul, mis võimaldab seda kasutada tavaliste jaotustuumadega.
LKRG 0.9.4 peamised uued funktsioonid
Selles esitletavas mooduli versioonis on rõhutatud, et lisatud tugi OpenRC alglaadimissüsteemile, samuti paigaldusjuhiste lisamine kasutades DMMS.
Teine muudatus, mis selles uues versioonis silma paistab, on see pakub ühilduvust Linuxi versiooni 5.15.40+ LTS-tuumadega.
Lisaks sellele rõhutatakse ka seda, et logi väljundi kujundust on ümber kujundatud, et lihtsustada automaatset analüüsi ja hõlbustada tajumist käsitsi analüüsimisel ning et LKRG sõnumitel on oma logikategooriad, mis hõlbustab nende eraldamist ülejäänud kerneli sõnumid.
Teisalt mainitakse ka seda muutis kerneli mooduli nime p_lkrg asemel lkrg ja et LKRG 0.9.3 vana versioon on endiselt töökorras uuemates kerneli versioonides (seni 5.19-rc*). Pikaajaliseks ühilduvuseks kerneli versiooniga 5.15.40+ ei ole aga vaja rakendada mõningaid versioonis 0.9.4 tehtud muudatusi.
Mainitakse ka seda mõningaid muudatusi kaalutakse seotud (aga ilmselt erinev) LKRG omakaitsesse kaasamiseks, Näiteks on selle käitusaja konfiguratsioon muude täiustuste hulgas mälulehel, mis on enamiku ajast kirjutuskaitstud.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata järgmine link.
Eelkõige on moodulit testitud RHEL-i tuuma, OpenVZ/Virtuozzo ja Ubuntuga. Tulevikus on võimalik erinevate populaarsete distributsioonide jaoks koostamisprotsessi korraldada binaarselt ühilduvalt.