proyecto אל Openwall הכריזה לאחרונה על שחרורו של מודול ליבת LKRG 0.9.4 (Linux Kernel Runtime Guard), שנועד לזהות ולחסום התקפות והפרות שלמות מבני הליבה.
ה-LKRG ארוז כ מודול ליבה הניתן לטעינה שמנסה לזהות שינויים לא מורשים בקרנל פועל (בדיקת תקינות) או שינויים בהרשאות של תהליכי משתמש (זיהוי פגיעות).
בדיקת התקינות מתבצעת על סמך השוואה של hashes מחושבים עבור אזורי הזיכרון והמבנים החשובים ביותר של נתוני הליבה (IDT (Interrupt Description Table), MSR, טבלאות קריאות מערכת, כל הפרוצדורות והפונקציות, מטפלי פסיקות, רשימות של מודולים טעונים, תוכן של קטע טקסט של מודולים, תכונות תהליך וכו').
הליך האימות מופעל מעת לעת באמצעות טיימר וכאשר מתרחשים אירועי קרנל שונים (לדוגמה, כאשר מבוצעות קריאות מערכת setuid, setreuid, fork, exit, execve, do_init_module וכו').
על Linux Kernel Runtime Guard
זיהוי השימוש האפשרי בניצול וחסימת התקפות מתבצע בשלב לפני שהקרנל מספק גישה למשאבים (לדוגמה, לפני פתיחת קובץ), אך לאחר שהתהליך קיבל הרשאות לא מורשות (למשל, שינוי ה-UID) .
כאשר מזוהה התנהגות לא מורשית של תהליכים, הם מופסקים בכוח, וזה מספיק כדי לחסום ניצולים רבים. מכיוון שהפרויקט נמצא בשלב פיתוח וטרם בוצעו אופטימיזציות, עלויות התפעול הכוללות של המודול הן כ-6.5%, אך בעתיד מתוכנן להוזיל נתון זה באופן משמעותי.
המודול היא מתאימה הן לארגון הגנה מפני מעללים ידועים עבור ליבת לינוקס באשר לניצול של פגיעויות שטרם ידועות, אם הם לא משתמשים באמצעים מיוחדים כדי לעקוף את LKRG.
המחברים אינם שוללים נוכחות של שגיאות בקוד LKRG ותוצאות חיוביות כוזבות אפשריות, לכן, משתמשים מוזמנים להשוות את הסיכונים של שגיאות אפשריות ב-LKRG עם היתרונות של שיטת ההגנה המוצעת.
מבין המאפיינים החיוביים של LKRG, יש לציין שמנגנון ההגנה נעשה בצורה של מודול הניתן לטעינה, ולא תיקון ליבה, המאפשר להשתמש בו עם גרעיני הפצה רגילים.
תכונות חדשות עיקריות של LKRG 0.9.4
בגרסה החדשה הזו של המודול המוצגת, מודגש כי הוספה תמיכה עבור מערכת האתחול OpenRC, כמו גם הוספת הוראות התקנה באמצעות DMMS.
שינוי נוסף שבולט בגרסה החדשה הזו הוא זה מספק תאימות ל-LTS-kernels מ-Linux 5.15.40+.
בנוסף לכך, מודגש גם שעיצוב פלט ההודעות ליומן עוצב מחדש כדי לפשט את הניתוח האוטומטי ולהקל על התפיסה במהלך ניתוח ידני וכי להודעות LKRG יש קטגוריות יומן משלהן, מה שמקל על ההפרדה ביניהן שאר הודעות הקרנל.
מצד שני, מוזכר גם ש שינה את שם מודול הקרנל מ-p_lkrg ל-lkrg וכי הגרסה הישנה של LKRG 0.9.3 עדיין מתפקדת בגרסאות ליבה חדשות יותר (5.19-rc* עד כה). עם זאת, עבור תאימות ארוכת טווח עם Kernels 5.15.40+, זה לא כך שיש להחיל כמה שינויים שבוצעו בגרסה 0.9.4.
מוזכר גם ש כמה שינויים נבחנים קשור (אבל כנראה שונה) להכללה בהגנה עצמית של LKRG, לדוגמה, תצורת זמן הריצה שלו נמצאת בדף זיכרון שנשמר לקריאה בלבד רוב הזמן, בין שאר השיפורים.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים ב הקישור הבא.
בפרט, המודול נבדק עם ליבת RHEL, OpenVZ/Virtuozzo ואובונטו. בעתיד ניתן יהיה לארגן את תהליך הבנייה עם תאימות בינארית להפצות פופולריות שונות.