Projektet Openwall tillkännagav nyligen lanseringen av kärnmodulen LKRG 0.9.4 (Linux Kernel Runtime Guard), utformad för att upptäcka och blockera attacker och kränkningar av integriteten hos kärnstrukturer.
LKRG är förpackad som en laddningsbar kärnmodul som försöker upptäcka obehöriga ändringar i en körande kärna (integritetskontroll) eller ändringar i behörigheterna för användarprocesser (sårbarhetsdetektering).
Integritetskontrollen utförs baserat på en jämförelse av beräknade hash för de viktigaste minnesområdena och kärndatastrukturerna (IDT (Interrupt Description Table), MSR, systemanropstabeller, alla procedurer och funktioner, avbrottshanterare, listor över laddade moduler, innehåll i .text-delen av moduler, processattribut, etc.).
Verifieringsproceduren aktiveras periodiskt med hjälp av en timer och när olika kärnhändelser inträffar (till exempel när setuid, setreuid, fork, exit, execve, do_init_module, etc. systemanrop exekveras).
Om Linux Kernel Runtime Guard
Detektering av möjlig användning av exploateringar och blockering av attacker utförs i skedet innan kärnan ger åtkomst till resurser (till exempel innan en fil öppnas), men efter att processen har beviljats obehöriga behörigheter (till exempel ändra UID ) .
När obehörigt beteende hos processer upptäcks, avbryts de med tvång, vilket är tillräckligt för att blockera många utnyttjande. Eftersom projektet är i utvecklingsstadiet och optimeringar ännu inte har gjorts, är de totala driftskostnaderna för modulen cirka 6.5%, men i framtiden planeras att minska denna siffra avsevärt.
Modulen den är lämplig både för att organisera skydd mot redan kända bedrifter för Linux-kärnan för att motverka utnyttjande av ännu okända sårbarheter, om de inte använder särskilda åtgärder för att kringgå LKRG.
Författarna utesluter inte förekomsten av fel i LKRG-koden och möjliga falska positiva, därför uppmanas användare att jämföra riskerna för eventuella fel i LKRG med fördelarna med den föreslagna skyddsmetoden.
Av de positiva egenskaperna hos LKRG noteras att skyddsmekanismen är gjord i form av en laddningsbar modul och inte en kärnpatch, vilket gör att den kan användas med vanliga distributionskärnor.
Huvudnya funktioner i LKRG 0.9.4
I den här nya versionen av modulen som presenteras lyfts det fram att lagt till stöd för OpenRC-startsystemet, samt lägga till installationsinstruktioner med hjälp av DMMS.
En annan förändring som sticker ut i den här nya versionen är den ger kompatibilitet med LTS-kärnor från Linux 5.15.40+.
Utöver detta lyfts även fram att utformningen av meddelandeutmatningen till loggen har gjorts om för att förenkla automatiserad analys och underlätta uppfattningen vid manuell analys samt att LKRG-meddelanden har sina egna loggkategorier, vilket gör det lättare att separera dem från resten av kärnmeddelandena.
Å andra sidan nämns det också ändrade kärnmodulens namn från p_lkrg till lkrg och att den gamla versionen av LKRG 0.9.3 fungerar fortfarande i nyare kärnversioner (5.19-rc* än så länge). Men för långsiktig kompatibilitet med Kernels 5.15.40+ är det inte så att vissa ändringar som gjorts i version 0.9.4 måste tillämpas.
Det nämns också att vissa förändringar övervägs relaterat (men förmodligen annorlunda) för inkludering i LKRG självförsvar, till exempel är dess körtidskonfiguration i en minnessida som hålls skrivskyddad för det mesta, bland andra förbättringar.
Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna i följande länk.
I synnerhet har modulen testats med RHEL-kärnan, OpenVZ/Virtuozzo och Ubuntu. I framtiden kommer det att vara möjligt att organisera byggprocessen med binär kompatibilitet för olika populära distributioner.