Projekts Openwall nesen paziņoja par LKRG 0.9.4 kodola moduļa izlaišanu (Linux Kernel Runtime Guard), kas paredzēts, lai atklātu un bloķētu uzbrukumus un kodola struktūru integritātes pārkāpumus.
LKRG ir iepakots kā ielādējams kodola modulis, kas mēģina noteikt nesankcionētas izmaiņas darbojas kodolā (integritātes pārbaude) vai izmaiņas lietotāja procesu atļaujās (ievainojamības noteikšana).
Integritātes pārbaude tiek veikta, pamatojoties uz svarīgāko atmiņas apgabalu un kodola datu struktūru (IDT (Interrupt Description Table), MSR, sistēmas izsaukumu tabulām, visām procedūrām un funkcijām, pārtraukumu apstrādātājiem, ielādēto moduļu sarakstiem, saturu) aprēķināto jaucējvārdu salīdzinājumu. no moduļu .text sadaļas, procesa atribūtiem utt.).
Pārbaudes procedūra tiek periodiski aktivizēta ar taimera palīdzību un kad notiek dažādi kodola notikumi (piemēram, kad tiek izpildīti setuid, setreuid, fork, exit, execve, do_init_module utt. sistēmas izsaukumi).
Par Linux Kernel Runtime Guard
Iespējamās ekspluatācijas izmantošanas noteikšana un uzbrukumu bloķēšana tiek veikta posmā, pirms kodols nodrošina piekļuvi resursiem (piemēram, pirms faila atvēršanas), bet pēc tam, kad procesam ir piešķirtas nesankcionētas atļaujas (piemēram, mainot UID). .
Konstatējot procesu neatļautu uzvedību, tie tiek piespiedu kārtā pārtraukti, kas ir pietiekami daudzu ekspluatāciju bloķēšanai. Tā kā projekts ir izstrādes stadijā un optimizācijas vēl nav veiktas, moduļa kopējās ekspluatācijas izmaksas ir aptuveni 6.5%, taču nākotnē ir plānots šo skaitli būtiski samazināt.
Modulis tas ir piemērots gan aizsardzības organizēšanai pret jau zināmiem izmantojumiem Linux kodolam lai cīnītos pret vēl nezināmu ievainojamību izmantošanu, ja viņi neizmanto īpašus pasākumus, lai apietu LKRG.
Autori neizslēdz kļūdu klātbūtni LKRG kodā un iespējamus viltus pozitīvus rezultātus, tādēļ lietotāji tiek aicināti salīdzināt iespējamo kļūdu riskus LKRG ar piedāvātās aizsardzības metodes priekšrocībām.
No LKRG pozitīvajām īpašībām jāatzīmē, ka aizsardzības mehānisms ir izgatavots ielādējama moduļa, nevis kodola ielāpa veidā, kas ļauj to izmantot ar parastajiem izplatīšanas kodoliem.
Galvenās LKRG 0.9.4 jaunās iespējas
Šajā jaunajā piedāvātajā moduļa versijā ir uzsvērts, ka pievienots atbalsts OpenRC sāknēšanas sistēmai, kā arī pievienojot uzstādīšanas instrukcijas, izmantojot DMMS.
Vēl viena izmaiņa, kas izceļas šajā jaunajā versijā, ir tā nodrošina saderību ar LTS kodoliem no Linux 5.15.40+.
Papildus tam ir arī uzsvērts, ka ziņojumu izvades uz žurnālu dizains ir pārveidots, lai vienkāršotu automatizētu analīzi un atvieglotu uztveri manuālās analīzes laikā, un ka LKRG ziņojumiem ir savas žurnālu kategorijas, kas atvieglo to atdalīšanu no pārējie kodola ziņojumi.
No otras puses, tas ir arī minēts mainīts kodola moduļa nosaukums no p_lkrg uz lkrg un ka vecā LKRG 0.9.3 versija joprojām darbojas jaunākās kodola versijās (5.19-rc* līdz šim). Tomēr, lai nodrošinātu ilgtermiņa saderību ar kodolu 5.15.40+, ir jāpiemēro dažas izmaiņas, kas veiktas versijā 0.9.4.
Tas ir arī minēts tiek apsvērtas dažas izmaiņas saistīts (bet, iespējams, atšķirīgs) par iekļaušanu LKRG pašaizsardzībā, piemēram, tā izpildlaika konfigurācija atrodas atmiņas lapā, kas lielāko daļu laika tiek saglabāta tikai lasāma, kā arī citi uzlabojumi.
Beidzot ja jūs interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.
Jo īpaši modulis ir pārbaudīts ar RHEL kodolu, OpenVZ/Virtuozzo un Ubuntu. Nākotnē būs iespējams organizēt veidošanas procesu ar bināro savietojamību dažādiem populāriem izplatījumiem.