Proyek Openwall baru-baru ini mengumumkan rilis modul kernel LKRG 0.9.4 (Linux Kernel Runtime Guard), dirancang untuk mendeteksi dan memblokir serangan dan pelanggaran integritas struktur kernel.
LKRG dikemas sebagai modul kernel yang dapat dimuat yang mencoba mendeteksi perubahan yang tidak sah dalam kernel yang sedang berjalan (pemeriksaan integritas) atau perubahan dalam izin proses pengguna (deteksi kerentanan).
Pemeriksaan integritas dilakukan berdasarkan perbandingan hash yang dihitung untuk area memori yang paling penting dan struktur data kernel (IDT (Interrupt Description Table), MSR, tabel panggilan sistem, semua prosedur dan fungsi, penangan interupsi, daftar modul yang dimuat, konten dari bagian .text dari modul, atribut proses, dll.).
Prosedur verifikasi diaktifkan secara berkala dengan menggunakan pengatur waktu dan ketika berbagai peristiwa kernel terjadi (misalnya, ketika setuid, setreuid, fork, exit, execve, do_init_module, dll. panggilan sistem dijalankan).
Tentang Penjaga Runtime Kernel Linux
Deteksi kemungkinan penggunaan eksploitasi dan pemblokiran serangan dilakukan pada tahap sebelum kernel menyediakan akses ke sumber daya (misalnya, sebelum membuka file), tetapi setelah proses diberikan izin yang tidak sah (misalnya, mengubah UID ) .
Ketika perilaku proses yang tidak sah terdeteksi, mereka dihentikan secara paksa, yang cukup untuk memblokir banyak eksploitasi. Karena proyek ini dalam tahap pengembangan dan pengoptimalan belum dilakukan, biaya pengoperasian modul secara keseluruhan adalah sekitar 6.5%, tetapi di masa depan direncanakan untuk mengurangi angka ini secara signifikan.
Modul itu cocok baik untuk mengatur perlindungan terhadap eksploitasi yang sudah diketahui untuk kernel Linux untuk melawan eksploitasi kerentanan yang belum diketahui, jika mereka tidak menggunakan tindakan khusus untuk menghindari LKRG.
Penulis tidak mengecualikan adanya kesalahan dalam kode LKRG dan kemungkinan positif palsu, oleh karena itu, pengguna diundang untuk membandingkan risiko kemungkinan kesalahan dalam LKRG dengan manfaat metode perlindungan yang diusulkan.
Dari sifat positif LKRG, perlu dicatat bahwa mekanisme perlindungan dibuat dalam bentuk modul yang dapat dimuat, dan bukan patch kernel, yang memungkinkannya digunakan dengan kernel distribusi reguler.
Fitur baru utama LKRG 0.9.4
Dalam versi baru dari modul yang disajikan ini, disoroti bahwa menambahkan dukungan untuk sistem boot OpenRC, serta menambahkan petunjuk instalasi menggunakan DMMS.
Perubahan lain yang menonjol dalam versi baru ini adalah menyediakan kompatibilitas dengan kernel LTS dari Linux 5.15.40+.
Selain itu, juga disorot bahwa desain output pesan ke log telah didesain ulang untuk menyederhanakan analisis otomatis dan memfasilitasi persepsi selama analisis manual dan bahwa pesan LKRG memiliki kategori log sendiri, yang memudahkan untuk memisahkannya dari pesan kernel lainnya.
Di sisi lain, disebutkan juga bahwa mengubah nama modul kernel dari p_lkrg menjadi lkrg dan bahwa versi lama LKRG 0.9.3 masih berfungsi dalam versi kernel yang lebih baru (5.19-rc* sejauh ini). Namun, untuk kompatibilitas jangka panjang dengan Kernel 5.15.40+, tidak demikian beberapa perubahan yang dibuat di versi 0.9.4 harus diterapkan.
Disebutkan juga itu beberapa perubahan sedang dipertimbangkan terkait (tapi mungkin berbeda) untuk dimasukkan dalam bela diri LKRG, misalnya, konfigurasi runtime-nya ada di halaman memori yang sebagian besar waktu disimpan hanya-baca, di antara peningkatan lainnya.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat memeriksa detailnya di link berikut.
Secara khusus, modul telah diuji dengan kernel RHEL, OpenVZ/Virtuozzo dan Ubuntu. Di masa depan, dimungkinkan untuk mengatur proses pembuatan dengan kompatibilitas biner untuk berbagai distribusi populer.