Projekt Openwall je pred kratkim objavil izdajo jedrnega modula LKRG 0.9.4 (Linux Kernel Runtime Guard), zasnovan za odkrivanje in blokiranje napadov in kršitev integritete struktur jedra.
LKRG je pakiran kot modul jedra, ki ga je mogoče naložiti in poskuša zaznati nepooblaščene spremembe v delujočem jedru (preverjanje integritete) ali spremembe v dovoljenjih uporabniških procesov (odkrivanje ranljivosti).
Preverjanje integritete se izvede na podlagi primerjave izračunanih zgoščenj za najpomembnejša pomnilniška področja in podatkovne strukture jedra (IDT (Interrupt Description Table), MSR, tabele sistemskih klicev, vse procedure in funkcije, obdelovalci prekinitev, seznami naloženih modulov, vsebine. razdelka .text modulov, atributov procesa itd.).
Postopek preverjanja se občasno aktivira s pomočjo časovnika in ko pride do različnih dogodkov v jedru (na primer, ko se izvedejo sistemski klici setuid, setreuid, fork, exit, execve, do_init_module itd.).
O Linux Kernel Runtime Guard
Zaznavanje morebitne uporabe podvigov in blokiranje napadov se izvedeta na stopnji, preden jedro omogoči dostop do virov (na primer pred odpiranjem datoteke), vendar potem, ko so bila procesu podeljena nepooblaščena dovoljenja (na primer sprememba UID-ja). .
Ko je zaznano nepooblaščeno vedenje procesov, se ti prisilno prekinejo, kar je dovolj za blokiranje številnih podvigov. Ker je projekt v razvojni fazi in optimizacije še niso bile izvedene, znašajo skupni obratovalni stroški modula približno 6.5 %, vendar se v prihodnje načrtuje, da se ta številka bistveno zmanjša.
Modul primeren je tako za organiziranje zaščite pred že znanimi podvigi za jedro Linuxa za preprečevanje izkoriščanja še neznanih ranljivosti, če ne uporabljajo posebnih ukrepov za obhod LKRG.
Avtorji ne izključujejo prisotnosti napak v kodi LKRG in morebitnih lažnih pozitivnih rezultatov, zato uporabnike vabimo, da primerjajo tveganja morebitnih napak v LKRG s koristmi predlaganega načina zaščite.
Od pozitivnih lastnosti LKRG je treba opozoriti, da je zaščitni mehanizem izdelan v obliki nakladljivega modula in ne popravka jedra, kar omogoča uporabo z običajnimi distribucijskimi jedri.
Glavne novosti LKRG 0.9.4
V tej novi različici modula, ki je predstavljena, je poudarjeno, da dodana podpora za zagonski sistem OpenRC, kot tudi dodajanje navodil za namestitev z uporabo DMMS.
Druga sprememba, ki izstopa v tej novi različici, je ta zagotavlja združljivost z jedri LTS iz Linuxa 5.15.40+.
Poleg tega je poudarjeno tudi, da je bila zasnova izpisa sporočila v dnevnik preoblikovana za poenostavitev avtomatizirane analize in olajšanje zaznavanja med ročno analizo ter da imajo sporočila LKRG lastne kategorije dnevnika, zaradi česar jih je lažje ločiti od ostala sporočila jedra.
Po drugi strani pa je omenjeno tudi to spremenjeno ime modula jedra iz p_lkrg v lkrg in da stara različica LKRG 0.9.3 še vedno deluje v novejših različicah jedra (do sedaj 5.19-rc*). Vendar pa za dolgoročno združljivost z jedri 5.15.40+ ni tako, da je treba uporabiti nekatere spremembe v različici 0.9.4.
Omenjeno je tudi, da nekatere spremembe se obravnavajo sorodni (vendar verjetno različni) za vključitev v samoobrambo LKRG, na primer, med drugimi izboljšavami je njegova konfiguracija izvajalnega časa na pomnilniški strani, ki je večino časa samo za branje.
Končno če vas zanima več o tem, podrobnosti lahko preverite v naslednja povezava.
Zlasti je bil modul preizkušen z jedrom RHEL, OpenVZ/Virtuozzo in Ubuntu. V prihodnosti bo mogoče organizirati postopek gradnje z binarno združljivostjo za različne priljubljene distribucije.