El Proyecto Openwall njoftoi së fundmi lëshimin e modulit të kernelit LKRG 0.9.4 (Linux Kernel Runtime Guard), i projektuar për të zbuluar dhe bllokuar sulmet dhe shkeljet e integritetit të strukturave të kernelit.
LKRG është paketuar si një modul kernel i ngarkueshëm që përpiqet të zbulojë ndryshime të paautorizuara në një kernel që funksionon (kontrolli i integritetit) ose ndryshimet në lejet e proceseve të përdoruesit (zbulimi i cenueshmërisë).
Kontrolli i integritetit kryhet bazuar në një krahasim të hasheve të llogaritura për zonat më të rëndësishme të memories dhe strukturat e të dhënave të kernelit (IDT (Tabela e përshkrimit të ndërprerjeve), MSR, tabelat e thirrjeve të sistemit, të gjitha procedurat dhe funksionet, mbajtësit e ndërprerjeve, listat e moduleve të ngarkuara, përmbajtjet të seksionit .tekst të moduleve, atributet e procesit etj.).
Procedura e verifikimit aktivizohet periodikisht me anë të një kohëmatës dhe kur ndodhin ngjarje të ndryshme të kernelit (për shembull, kur ekzekutohen thirrjet e sistemit setuid, setreuid, fork, exit, execve, do_init_module, etj.).
Rreth Linux Kernel Runtime Guard
Zbulimi i përdorimit të mundshëm të shfrytëzimeve dhe bllokimi i sulmeve kryhen në fazën përpara se kerneli të sigurojë akses në burime (për shembull, përpara hapjes së një skedari), por pasi procesit t'i jenë dhënë leje të paautorizuara (për shembull, ndryshimi i UID ) .
Kur zbulohet sjellje e paautorizuar e proceseve, ato ndërpriten me forcë, gjë që mjafton për të bllokuar shumë shfrytëzime. Meqenëse projekti është në fazën e zhvillimit dhe nuk janë bërë ende optimizimet, kostot e përgjithshme të funksionimit të modulit janë afërsisht 6.5%, por në të ardhmen është planifikuar të zvogëlohet ndjeshëm kjo shifër.
Moduli është i përshtatshëm si për organizimin e mbrojtjes nga shfrytëzimet e njohura tashmë për kernelin Linux për të luftuar shfrytëzimet e dobësive ende të panjohura, nëse nuk përdorin masa të veçanta për të anashkaluar LKRG.
Autorët nuk përjashtojnë praninë e gabimeve në kodin LKRG dhe të mundshme false pozitive, prandaj, përdoruesit ftohen të krahasojnë rreziqet e gabimeve të mundshme në LKRG me përfitimet e metodës së propozuar të mbrojtjes.
Nga vetitë pozitive të LKRG, vihet re se mekanizmi i mbrojtjes është bërë në formën e një moduli të ngarkueshëm, dhe jo një patch kernel, i cili lejon që ai të përdoret me kernelet e rregullt të shpërndarjes.
Karakteristikat kryesore të reja të LKRG 0.9.4
Në këtë version të ri të modulit që prezantohet, theksohet se mbështetje e shtuar për sistemin e nisjes OpenRC, si dhe shtimi i udhëzimeve të instalimit duke përdorur DMMS.
Një tjetër ndryshim që bie në sy në këtë version të ri është ai siguron përputhshmëri me kernelet LTS nga Linux 5.15.40+.
Përveç kësaj, theksohet gjithashtu se dizajni i daljes së mesazhit në regjistër është ridizajnuar për të thjeshtuar analizën e automatizuar dhe për të lehtësuar perceptimin gjatë analizës manuale dhe se mesazhet LKRG kanë kategoritë e tyre të regjistrit, gjë që e bën më të lehtë ndarjen e tyre nga pjesa tjetër e mesazheve të kernelit.
Nga ana tjetër, përmendet gjithashtu se ndryshoi emrin e modulit të kernelit nga p_lkrg në lkrg dhe kjo versioni i vjetër i LKRG 0.9.3 është ende funksional në versionet më të reja të kernelit (5.19-rc* deri më tani). Megjithatë, për pajtueshmërinë afatgjatë me Kernels 5.15.40+, nuk është kështu që duhet të zbatohen disa ndryshime të bëra në versionin 0.9.4.
Përmendet gjithashtu se janë duke u konsideruar disa ndryshime të lidhura (por ndoshta të ndryshme) për përfshirje në vetëmbrojtje të LKRG, për shembull, konfigurimi i tij i kohës së funksionimit është në një faqe memorie që mbahet vetëm për lexim shumicën e kohës, midis përmirësimeve të tjera.
Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet në lidhja vijuese.
Në veçanti, moduli është testuar me kernelin RHEL, OpenVZ/Virtuozzo dhe Ubuntu. Në të ardhmen do të jetë e mundur të organizohet procesi i ndërtimit me përputhshmëri binare për shpërndarje të ndryshme popullore.