프로젝트 Openwall은 최근 LKRG 0.9.4 커널 모듈의 출시를 발표했습니다. (Linux Kernel Runtime Guard), 공격 및 커널 구조 무결성 위반을 감지하고 차단하도록 설계되었습니다.
LKRG는 다음과 같이 포장됩니다. 승인되지 않은 변경을 감지하려고 시도하는 로드 가능한 커널 모듈 실행 중인 커널(무결성 검사) 또는 사용자 프로세스의 권한 변경(취약점 감지).
무결성 검사는 가장 중요한 메모리 영역과 커널 데이터 구조(IDT(Interrupt Description Table), MSR, 시스템 호출 테이블, 모든 프로시저 및 함수, 인터럽트 처리기, 로드된 모듈 목록, 내용)에 대한 계산된 해시 비교를 기반으로 수행됩니다. 모듈의 .text 섹션, 프로세스 속성 등).
검증 절차는 타이머를 통해 주기적으로 활성화됩니다. 다양한 커널 이벤트가 발생할 때(예: setuid, setreuid, fork, exit, execve, do_init_module 등의 시스템 호출이 실행될 때).
Linux 커널 런타임 가드 정보
커널이 리소스에 대한 액세스를 제공하기 전 단계(예: 파일 열기 전)와 프로세스에 무단 권한이 부여된 후(예: UID 변경) 가능한 익스플로잇 사용 탐지 및 공격 차단이 수행됩니다. .
프로세스의 무단 행위가 감지되면 강제 종료되어 많은 익스플로잇을 차단하기에 충분합니다. 프로젝트가 개발 단계에 있고 아직 최적화가 이루어지지 않았기 때문에 모듈의 전체 운영 비용은 약 6.5%이지만 앞으로 이 수치를 크게 줄일 계획입니다.
모듈 이미 알려진 악용에 대한 보호를 구성하는 데 적합합니다. 리눅스 커널의 경우 아직 알려지지 않은 취약점의 악용에 대응하기 위해 LKRG를 우회하기 위해 특별한 조치를 취하지 않는 경우.
저자는 LKRG 코드의 오류와 가능한 오탐을 배제하지 않습니다. 따라서 사용자는 LKRG에서 발생할 수 있는 오류의 위험과 제안된 보호 방법의 이점을 비교할 수 있습니다.
LKRG의 긍정적인 특성 중 하나는 보호 메커니즘이 커널 패치가 아닌 로드 가능한 모듈 형태로 만들어져 정규 배포 커널과 함께 사용할 수 있다는 점입니다.
LKRG 0.9.4의 주요 새 기능
이 새 버전의 모듈에서는 다음과 같이 강조 표시됩니다. OpenRC 부트 시스템에 대한 지원 추가, 다음을 사용하여 설치 지침 추가 DMMS.
이번 새 버전에서 눈에 띄는 또 다른 변경 사항은 Linux 5.15.40+의 LTS 커널과의 호환성을 제공합니다.
이 외에도 자동 분석을 단순화하고 수동 분석 중 인식을 용이하게 하기 위해 로그에 대한 메시지 출력 디자인이 재설계되었으며 LKRG 메시지에는 고유한 로그 범주가 있어 메시지에서 쉽게 구분할 수 있습니다. 나머지 커널 메시지.
반면에 커널 모듈 이름을 p_lkrg에서 lkrg로 변경했습니다. 그 LKRG 0.9.3의 이전 버전은 여전히 작동합니다. 최신 커널 버전(지금까지 5.19-rc*). 그러나 Kernels 5.15.40+와의 장기적인 호환성을 위해 버전 0.9.4의 일부 변경 사항을 적용해야 하는 것은 아닙니다.
또한 언급됩니다 일부 변경 사항을 고려 중 관련(그러나 아마도 다를 수 있음) LKRG 자기 방어에 포함시키기 위해, 예를 들어, 런타임 구성은 다른 개선 사항 중에서 대부분의 시간 동안 읽기 전용으로 유지되는 메모리 페이지에 있습니다.
최종적으로 그것에 대해 더 많이 알고 싶다면에서 세부 정보를 확인할 수 있습니다. 다음 링크.
특히 이 모듈은 RHEL 커널, OpenVZ/Virtuozzo 및 Ubuntu에서 테스트되었습니다. 앞으로는 널리 사용되는 다양한 배포판에 대해 바이너리 호환성으로 빌드 프로세스를 구성하는 것이 가능할 것입니다.