Projekt Openwall ogłosił niedawno wydanie modułu jądra LKRG 0.9.4 (Linux Kernel Runtime Guard), przeznaczony do wykrywania i blokowania ataków oraz naruszeń integralności struktur jądra.
LKRG jest pakowany jako ładowalny moduł jądra, który próbuje wykryć nieautoryzowane zmiany w uruchomionym jądrze (sprawdzanie integralności) lub zmiany uprawnień procesów użytkownika (wykrywanie luk).
Kontrola integralności odbywa się na podstawie porównania obliczonych skrótów dla najważniejszych obszarów pamięci i struktur danych jądra (IDT (Interrupt Description Table), MSR, tablice wywołań systemowych, wszystkie procedury i funkcje, procedury obsługi przerwań, listy załadowanych modułów, zawartość sekcji .text modułów, atrybutów procesów itp.).
Procedura weryfikacji uruchamiana jest okresowo za pomocą timera oraz kiedy występują różne zdarzenia jądra (na przykład, gdy wykonywane są wywołania systemowe setuid, setreuid, fork, exit, execve, do_init_module itp.).
O Linux Kernel Runtime Guard
Wykrywanie możliwego wykorzystania exploitów i blokowanie ataków odbywa się na etapie przed udostępnieniem zasobów przez jądro (np. przed otwarciem pliku), ale po nadaniu procesowi nieautoryzowanych uprawnień (np. zmiana UID) .
W przypadku wykrycia nieautoryzowanego zachowania procesów są one przymusowo przerywane, co wystarcza do zablokowania wielu exploitów. Ponieważ projekt jest w fazie rozwoju, a optymalizacje nie zostały jeszcze wykonane, ogólne koszty operacyjne modułu wynoszą około 6.5%, ale w przyszłości planuje się znacznie obniżyć tę liczbę.
Moduł nadaje się zarówno do organizowania ochrony przed znanymi już exploitami dla jądra Linux w celu przeciwdziałania exploitom nieznanych jeszcze luk, jeśli nie stosują specjalnych środków w celu obejścia LKRG.
Autorzy nie wykluczają obecności błędów w kodzie LKRG i ewentualnych fałszywych alarmów, dlatego użytkownicy są proszeni o porównanie ryzyka ewentualnych błędów w LKRG z korzyściami proponowanej metody ochrony.
Z pozytywnych właściwości LKRG należy zauważyć, że mechanizm ochrony jest wykonany w postaci ładowalnego modułu, a nie łaty jądra, co pozwala na używanie go ze zwykłymi jądrami dystrybucyjnymi.
Główne nowe funkcje LKRG 0.9.4
W tej nowej wersji prezentowanego modułu podkreślono, że dodano wsparcie dla systemu rozruchowego OpenRC, a także dodawanie instrukcji instalacji za pomocą DMMS.
Kolejną zmianą, która wyróżnia się w tej nowej wersji, jest to, że zapewnia kompatybilność z jądrami LTS z Linuksa 5.15.40+.
Ponadto podkreślono również, że projekt komunikatów wyjściowych do dziennika został przeprojektowany w celu uproszczenia automatycznej analizy i ułatwienia percepcji podczas analizy ręcznej oraz że wiadomości LKRG mają własne kategorie dziennika, co ułatwia ich oddzielenie od reszta komunikatów jądra.
Z drugiej strony wspomina się również, że zmieniono nazwę modułu jądra z p_lkrg na lkrg i stara wersja LKRG 0.9.3 nadal działa w nowszych wersjach jądra (do tej pory 5.19-rc*). Jednak dla długoterminowej kompatybilności z Kernels 5.15.40+ tak nie jest, więc niektóre zmiany wprowadzone w wersji 0.9.4 muszą zostać zastosowane.
Wspomina się również o tym rozważane są pewne zmiany pokrewne (ale prawdopodobnie inne) o włączenie do samoobrony LKRG, na przykład jego konfiguracja środowiska uruchomieniowego znajduje się na stronie pamięci, która przez większość czasu jest przechowywana tylko do odczytu, a także inne ulepszenia.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.
W szczególności moduł został przetestowany z jądrem RHEL, OpenVZ/Virtuozzo i Ubuntu. W przyszłości możliwe będzie zorganizowanie procesu budowania z kompatybilnością binarną dla różnych popularnych dystrybucji.