El proyecto Openwall ilmoitti äskettäin julkaisevansa LKRG 0.9.4 -ydinmoduulin (Linux Kernel Runtime Guard), suunniteltu havaitsemaan ja estämään hyökkäykset ja ydinrakenteiden eheysrikkomukset.
LKRG on pakattu muodossa ladattava ydinmoduuli, joka yrittää havaita luvattomat muutokset käynnissä olevassa ytimessä (eheyden tarkistus) tai muutoksia käyttäjäprosessien käyttöoikeuksiin (haavoittuvuuden havaitseminen).
Eheystarkistus tehdään tärkeimpien muistialueiden ja ytimen tietorakenteiden (IDT (Interrupt Description Table), MSR, järjestelmäkutsutaulukot, kaikki proseduurit ja toiminnot, keskeytyskäsittelijät, ladattujen moduulien luettelot, sisällöt) laskettujen hajautusarvojen vertailun perusteella. moduulien .text-osion, prosessimääritteiden jne.).
Varmennustoiminto aktivoidaan ajoittain ajastimen avulla ja kun eri ytimen tapahtumia esiintyy (esimerkiksi kun setuid, setreuid, fork, exit, execve, do_init_module jne. järjestelmäkutsuja suoritetaan).
Tietoja Linux Kernel Runtime Guardista
Hyökkäysten mahdollisen käytön havaitseminen ja hyökkäysten estäminen suoritetaan vaiheessa ennen kuin ydin antaa pääsyn resursseihin (esimerkiksi ennen tiedoston avaamista), mutta sen jälkeen, kun prosessille on myönnetty luvattomat käyttöoikeudet (esimerkiksi UID:n vaihtaminen). .
Kun prosessien luvaton käyttäytyminen havaitaan, ne lopetetaan väkisin, mikä riittää estämään monet hyväksikäytöt. Koska projekti on kehitysvaiheessa eikä optimointeja ole vielä tehty, ovat moduulin kokonaiskäyttökustannukset noin 6.5 %, mutta jatkossa tätä lukua on tarkoitus vähentää merkittävästi.
Moduuli se soveltuu sekä suojauksen järjestämiseen jo tunnettuja hyökkäyksiä vastaan Linux-ytimelle torjuakseen vielä tuntemattomien haavoittuvuuksien hyödyntämistä, jos he eivät käytä erityistoimenpiteitä LKRG:n kiertämiseksi.
Kirjoittajat eivät sulje pois virheiden esiintymistä LKRG-koodissa ja mahdollisia vääriä positiivisia tuloksia, siksi käyttäjiä kehotetaan vertaamaan LKRG:n mahdollisten virheiden riskejä ehdotetun suojausmenetelmän etuihin.
LKRG:n positiivisista ominaisuuksista on huomattava, että suojamekanismi on tehty ladattavan moduulin muodossa, ei ytimen korjaustiedoston muodossa, mikä mahdollistaa sen käytön tavallisten jakeluytimien kanssa.
LKRG 0.9.4:n tärkeimmät uudet ominaisuudet
Tässä esitellyssä moduulin uudessa versiossa korostetaan, että lisätty tuki OpenRC-käynnistysjärjestelmälle, sekä lisää asennusohjeet käyttämällä DMMS.
Toinen muutos, joka erottuu tässä uudessa versiossa, on se tarjoaa yhteensopivuuden Linux 5.15.40+ LTS-ytimien kanssa.
Tämän lisäksi korostetaan myös, että lokiin lähetettävän viestin suunnittelua on suunniteltu uudelleen yksinkertaistamaan automaattista analysointia ja helpottamaan havaitsemista manuaalisen analyysin aikana ja että LKRG-sanomilla on omat lokikategoriansa, mikä helpottaa niiden erottamista loput ytimen viesteistä.
Toisaalta mainitaan myös se muutti ytimen moduulin nimen p_lkrg:stä lkrg:ksi ja että LKRG 0.9.3:n vanha versio on edelleen toimiva uudemmissa ytimen versioissa (5.19-rc* tähän mennessä). Pitkän aikavälin yhteensopivuuden vuoksi ytimien 5.15.40+ kanssa ei kuitenkaan ole niin, että joitain versiossa 0.9.4 tehtyjä muutoksia on sovellettava.
Mainitaan myös se joitain muutoksia harkitaan liittyvät (mutta luultavasti erilaiset) sisällytettäväksi LKRG:n itsepuolustukseen, esimerkiksi sen ajonaikaiset asetukset ovat muistisivulla, joka pidetään vain luku -tilassa suurimman osan ajasta muiden parannusten ohella.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.
Erityisesti moduulia on testattu RHEL-ytimen, OpenVZ/Virtuozzon ja Ubuntun kanssa. Tulevaisuudessa on mahdollista järjestää rakennusprosessi binääriyhteensopivalla tavalla erilaisille suosituille jakeluille.