El proyecto „Openwall“ neseniai paskelbė apie LKRG 0.9.4 branduolio modulio išleidimą („Linux Kernel Runtime Guard“), skirta aptikti ir blokuoti atakas ir branduolio struktūrų vientisumo pažeidimus.
LKRG supakuotas kaip įkeliamas branduolio modulis, kuris bando aptikti neleistinus pakeitimus veikiančiame branduolyje (vientisumo patikrinimas) arba vartotojo procesų leidimų pakeitimai (pažeidžiamumo aptikimas).
Vientisumo patikrinimas atliekamas remiantis apskaičiuotų svarbiausių atminties sričių ir branduolio duomenų struktūrų maišos palyginimu (IDT (Interrupt Description Table), MSR, sistemos iškvietimų lentelės, visos procedūros ir funkcijos, pertraukimų tvarkyklės, įkeltų modulių sąrašai, turinys modulių .teksto skyriaus, proceso atributų ir kt.).
Tikrinimo procedūra periodiškai įjungiama naudojant laikmatį ir kai įvyksta įvairūs branduolio įvykiai (pavyzdžiui, kai vykdomi setuid, setreuid, fork, exit, execve, do_init_module ir kt. sistemos iškvietimai).
Apie „Linux Kernel Runtime Guard“.
Galimo išnaudojimo aptikimas ir atakų blokavimas atliekami tuo metu, kai branduolys suteikia prieigą prie išteklių (pavyzdžiui, prieš atidarant failą), bet po to, kai procesui suteikiami neleistini leidimai (pavyzdžiui, keičiamas UID). .
Aptikus neteisėtą procesų elgesį, jie priverstinai nutraukiami, o to pakanka daugeliui išnaudojimų blokuoti. Kadangi projektas yra kūrimo stadijoje, o optimizavimai dar neatlikti, bendros modulio eksploatacinės sąnaudos siekia apie 6.5%, tačiau ateityje planuojama šį skaičių gerokai sumažinti.
Modulis jis tinka tiek organizuoti apsaugą nuo jau žinomų išnaudojimų Linux branduoliui kaip kovoti su dar nežinomų pažeidžiamumų išnaudojimais, jeigu jie nenaudoja specialių priemonių LKRG apeiti.
Autoriai neatmeta klaidų LKRG kode ir galimų klaidingų teigiamų rezultatų, todėl vartotojai kviečiami palyginti galimų LKRG klaidų riziką su siūlomo apsaugos metodo privalumais.
Iš teigiamų LKRG savybių pažymėtina, kad apsaugos mechanizmas pagamintas kaip įkeliamas modulis, o ne kaip branduolio pleistras, todėl jį galima naudoti su įprastais platinimo branduoliais.
Pagrindinės naujos LKRG 0.9.4 savybės
Šioje pristatomoje naujoje modulio versijoje pabrėžiama, kad papildomas OpenRC įkrovos sistemos palaikymas, taip pat pridėti diegimo instrukcijas naudojant DMMS.
Kitas pakeitimas, kuris išsiskiria šioje naujoje versijoje, yra tas užtikrina suderinamumą su LTS branduoliais iš Linux 5.15.40+.
Be to, taip pat pabrėžiama, kad pranešimų išvesties į žurnalą dizainas buvo perkurtas siekiant supaprastinti automatinę analizę ir palengvinti suvokimą atliekant rankinę analizę, o LKRG pranešimai turi savo žurnalų kategorijas, todėl juos lengviau atskirti nuo likusieji branduolio pranešimai.
Kita vertus, taip pat minima pakeistas branduolio modulio pavadinimas iš p_lkrg į lkrg ir kad senoji LKRG 0.9.3 versija vis dar veikia naujesnėse branduolio versijose (iki šiol 5.19-rc*). Tačiau norint užtikrinti ilgalaikį suderinamumą su branduoliais 5.15.40+, reikia pritaikyti kai kuriuos 0.9.4 versijos pakeitimus.
Taip pat minima, kad svarstomi kai kurie pakeitimai susiję (bet tikriausiai skirtingi) dėl įtraukimo į LKRG savigyną, Pavyzdžiui, jo vykdymo laiko konfigūracija yra atminties puslapyje, kuris didžiąją laiko dalį yra tik skaitomas, be kitų patobulinimų.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.
Visų pirma, modulis buvo išbandytas su RHEL branduoliu, OpenVZ/Virtuozzo ir Ubuntu. Ateityje bus galima organizuoti kūrimo procesą su dvejetainiu suderinamumu įvairiems populiariems platinimams.