A projekt Az Openwall nemrégiben jelentette be az LKRG 0.9.4 kernelmodul kiadását (Linux Kernel Runtime Guard), amelynek célja a támadások és a kernelszerkezetek integritásának megsértése észlelése és blokkolása.
Az LKRG a következőképpen van csomagolva betölthető kernelmodul, amely megpróbálja észlelni a jogosulatlan változtatásokat futó kernelben (integritás-ellenőrzés) vagy a felhasználói folyamatok engedélyeinek változásaiban (sebezhetőség észlelése).
Az integritás-ellenőrzés a legfontosabb memóriaterületek és kernel adatstruktúrák (IDT (Interrupt Description Table), MSR, rendszerhívási táblák, minden eljárás és függvény, megszakításkezelők, betöltött modulok listája, tartalmak) számított hash-einek összehasonlítása alapján történik. modulok .text részében, folyamatattribútumokban stb.).
Az ellenőrzési eljárást időnként aktiválja egy időzítő és amikor különböző kernelesemények fordulnak elő (például amikor a setuid, setreuid, fork, exit, execve, do_init_module stb. rendszerhívások futnak).
A Linux Kernel Runtime Guard-ról
A kihasználások lehetséges használatának észlelése és a támadások blokkolása abban a szakaszban történik, mielőtt a kernel hozzáférést biztosít az erőforrásokhoz (például egy fájl megnyitása előtt), de miután a folyamat jogosulatlan engedélyeket kapott (például az UID megváltoztatása). .
Ha a folyamatok jogosulatlan viselkedését észlelik, azokat erőszakkal leállítják, ami elég sok kizsákmányolás blokkolásához. Mivel a projekt fejlesztési szakaszban van, és az optimalizálás még nem történt meg, a modul teljes üzemeltetési költsége hozzávetőlegesen 6.5%, de a jövőben ezt a számot jelentősen csökkenteni tervezik.
A modul alkalmas mind a már ismert kihasználások elleni védelem megszervezésére Linux kernelhez a még ismeretlen sebezhetőségek kihasználása ellen, ha nem alkalmaznak különleges intézkedéseket az LKRG megkerülésére.
A szerzők nem zárják ki az LKRG kód hibáinak meglétét és az esetleges hamis pozitív eredményeket, ezért felkérjük a felhasználókat, hogy hasonlítsák össze az LKRG lehetséges hibáinak kockázatát a javasolt védelmi módszer előnyeivel.
Az LKRG pozitív tulajdonságai közül meg kell jegyezni, hogy a védelmi mechanizmus betölthető modul, nem pedig kerneljavítás formájában készült, ami lehetővé teszi a szokásos terjesztési kernelekkel való használatát.
Az LKRG 0.9.4 főbb újdonságai
A modul bemutatott új verziójában kiemelték, hogy hozzáadott támogatást az OpenRC rendszerindító rendszerhez, valamint a telepítési utasítások hozzáadásával DMMS.
Egy másik változás, amely kiemelkedik ebben az új verzióban, az kompatibilitást biztosít a Linux 5.15.40+ LTS-kerneleivel.
Ezen túlmenően az is kiemelendő, hogy a naplóba küldött üzenetek kialakítását az automatizált elemzés egyszerűsítése és a kézi elemzés során történő észlelés megkönnyítése érdekében újratervezték, valamint hogy az LKRG üzeneteknek saját naplókategóriájuk van, ami megkönnyíti az elválasztásukat a többi kernel üzenet.
Másrészt azt is megemlítik megváltoztatta a kernelmodul nevét p_lkrg-ről lkrg-re és ez az LKRG 0.9.3 régi verziója még mindig működik az újabb kernelverziókban (eddig 5.19-rc*). Az 5.15.40+ rendszermaggal való hosszú távú kompatibilitás érdekében azonban nem feltétlenül kell alkalmazni a 0.9.4-es verzióban végrehajtott változtatásokat.
Azt is megemlítik, hogy néhány változtatást fontolgatnak kapcsolódó (de valószínűleg más) az LKRG önvédelembe való felvételére, például a futásidejű konfigurációja egy memóriaoldalon található, amely az idő nagy részében írásvédett, egyéb fejlesztések mellett.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket a következő link.
A modult különösen az RHEL kernellel, az OpenVZ/Virtuozzoval és az Ubuntuval tesztelték. A jövőben lehetséges lesz az építési folyamat bináris kompatibilitással megszervezni a különböző népszerű disztribúciókhoz.