Projekt Openwall nedávno oznámil vydanie modulu jadra LKRG 0.9.4 (Linux Kernel Runtime Guard), určený na detekciu a blokovanie útokov a narušenia integrity štruktúr jadra.
LKRG je zabalený ako načítateľný modul jadra, ktorý sa pokúša odhaliť neoprávnené zmeny v spustenom jadre (kontrola integrity) alebo zmeny v oprávneniach používateľských procesov (detekcia zraniteľnosti).
Kontrola integrity sa vykonáva na základe porovnania vypočítaných hashov pre najdôležitejšie pamäťové oblasti a dátové štruktúry jadra (IDT (Interrupt Description Table), MSR, tabuľky systémových volaní, všetky procedúry a funkcie, obsluhy prerušení, zoznamy načítaných modulov, obsah časti .text modulov, atribútov procesov atď.).
Postup overovania sa aktivuje periodicky pomocou časovača a keď nastanú rôzne udalosti jadra (napríklad keď sa vykonajú systémové volania setuid, setreuid, fork, exit, execve, do_init_module atď.).
O Linux Kernel Runtime Guard
Detekcia možného použitia exploitov a blokovanie útokov sa vykonáva vo fáze predtým, ako jadro poskytne prístup k zdrojom (napríklad pred otvorením súboru), ale po udelení neoprávnených povolení procesu (napríklad zmena UID) .
Keď sa zistí neoprávnené správanie procesov, sú násilne ukončené, čo stačí na zablokovanie mnohých exploitov. Keďže projekt je vo fáze vývoja a ešte neprebehli optimalizácie, celkové prevádzkové náklady modulu sú približne 6.5 %, no v budúcnosti sa plánuje výrazne znížiť túto hodnotu.
Modul je vhodný na organizáciu ochrany proti už známym zneužitiam pre jadro Linuxu ako čeliť zneužívaniu zatiaľ neznámych zraniteľností, ak nepoužijú špeciálne opatrenia na obchádzanie LKRG.
Autori nevylučujú prítomnosť chýb v kóde LKRG a možné falošné pozitíva, preto sa používateľom odporúča porovnať riziká možných chýb v LKRG s výhodami navrhovanej metódy ochrany.
Z pozitívnych vlastností LKRG je potrebné poznamenať, že ochranný mechanizmus je vyrobený vo forme načítateľného modulu a nie záplaty jadra, čo umožňuje jeho použitie s bežnými distribučnými jadrami.
Hlavné nové funkcie LKRG 0.9.4
V tejto novej verzii prezentovaného modulu je zdôraznené, že pridaná podpora pre zavádzací systém OpenRC, ako aj pridanie pokynov na inštaláciu pomocou DMMS.
Ďalšou zmenou, ktorá vyniká v tejto novej verzii, je tá poskytuje kompatibilitu s jadrami LTS z Linuxu 5.15.40+.
Okrem toho sa tiež zdôrazňuje, že dizajn výstupu správ do protokolu bol prepracovaný, aby sa zjednodušila automatizovaná analýza a uľahčilo vnímanie počas manuálnej analýzy, a že správy LKRG majú svoje vlastné kategórie protokolu, čo uľahčuje ich oddelenie od zvyšok správ jadra.
Na druhej strane sa tiež uvádza, že zmenil názov modulu jadra z p_lkrg na lkrg a že stará verzia LKRG 0.9.3 je stále funkčná v novších verziách jadra (zatiaľ 5.19-rc*). Pre dlhodobú kompatibilitu s jadrami 5.15.40+ to však nie je tak, že je potrebné použiť niektoré zmeny vykonané vo verzii 0.9.4.
Tiež sa o tom hovorí zvažuje sa niekoľko zmien súvisiace (ale pravdepodobne odlišné) na zaradenie do sebaobrany LKRG, napríklad jeho konfigurácia runtime je na stránke pamäte, ktorá je väčšinu času udržiavaná len na čítanie, okrem iných vylepšení.
Konečne ak máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti v nasledujúci odkaz.
Modul bol testovaný najmä s jadrom RHEL, OpenVZ/Virtuozzo a Ubuntu. V budúcnosti bude možné organizovať proces zostavovania s binárnou kompatibilitou pre rôzne populárne distribúcie.