Пројекат Опенвалл је недавно најавио издавање ЛКРГ 0.9.4 кернел модула (Линук Кернел Рунтиме Гуард), дизајниран за откривање и блокирање напада и кршења интегритета структура кернела.
ЛКРГ је упакован као модул кернела који се може учитати који покушава да открије неовлашћене промене у покренутом језгру (провера интегритета) или промене у дозволама корисничких процеса (откривање рањивости).
Провера интегритета се врши на основу поређења израчунатих хешова за најважније меморијске области и структуре података језгра (ИДТ (Интеррупт Десцриптион Табле), МСР, табеле системских позива, све процедуре и функције, руковаоци прекида, листе учитаних модула, садржај одељка .тект модула, атрибута процеса, итд.).
Процедура верификације се периодично активира помоћу тајмера и када се догоде различити догађаји кернела (на пример, када се извршавају системски позиви сетуид, сетреуид, форк, екит, екецве, до_инит_модуле, итд.).
О Линук Кернел Рунтиме Гуард-у
Откривање могуће употребе експлоатације и блокирање напада се обављају у фази пре него што кернел обезбеди приступ ресурсима (на пример, пре отварања датотеке), али након што је процесу додељена неовлашћена дозвола (на пример, промена УИД-а) .
Када се открије неовлашћено понашање процеса, они се принудно прекидају, што је довољно да блокира многе експлоатације. Пошто је пројекат у фази развоја и оптимизације још нису извршене, укупни оперативни трошкови модула су око 6.5%, али се у будућности планира значајно смањење ове цифре.
Модул погодан је и за организовање заштите од већ познатих подвига за Линук кернел да се супротстави експлоатацији још непознатих рањивости, ако не користе посебне мере да заобиђу ЛКРГ.
Аутори не искључују присуство грешака у ЛКРГ коду и могуће лажне позитивне резултате, стога се корисници позивају да упореде ризике могућих грешака у ЛКРГ са предностима предложеног метода заштите.
Од позитивних својстава ЛКРГ-а, напомиње се да је заштитни механизам направљен у облику модула који се може учитати, а не закрпе кернела, што му омогућава да се користи са редовним дистрибутивним језграма.
Главне нове карактеристике ЛКРГ 0.9.4
У овој новој верзији модула која је представљена, то је истакнуто додата подршка за ОпенРЦ систем покретања, као и додавање упутства за инсталацију користећи ДКМС.
Још једна промена која се истиче у овој новој верзији је то обезбеђује компатибилност са ЛТС-језгрима из Линука 5.15.40+.
Поред овога, такође је наглашено да је дизајн излаза поруке у дневник редизајниран како би се поједноставила аутоматска анализа и олакшала перцепција током ручне анализе и да ЛКРГ поруке имају своје категорије дневника, што олакшава њихово одвајање од остатак порука кернела.
С друге стране, такође се помиње да променио име модула кернела из п_лкрг у лкрг и да стара верзија ЛКРГ 0.9.3 је и даље функционална у новијим верзијама кернела (5.19-рц* до сада). Међутим, за дугорочну компатибилност са Кернелима 5.15.40+, није потребно применити неке промене направљене у верзији 0.9.4.
Такође се помиње да разматрају се неке измене повезано (али вероватно другачије) за укључивање у самоодбрану ЛКРГ, на пример, његова конфигурација времена извршавања је на меморијској страници која се већину времена држи само за читање, између осталих побољшања.
Коначно ако сте заинтересовани да сазнате више о томе, детаље можете погледати у следећи линк.
Конкретно, модул је тестиран са РХЕЛ кернелом, ОпенВЗ/Виртуоззо и Убунту. У будућности ће бити могуће организовати процес изградње са бинарном компатибилношћу за различите популарне дистрибуције.