Ang proyekto Inihayag kamakailan ng Openwall ang paglabas ng LKRG 0.9.4 kernel module (Linux Kernel Runtime Guard), na idinisenyo upang makita at harangan ang mga pag-atake at mga paglabag sa integridad ng mga istruktura ng kernel.
Ang LKRG ay nakabalot bilang isang loadable kernel module na sumusubok na makakita ng mga hindi awtorisadong pagbabago sa isang tumatakbong kernel (pagsusuri ng integridad) o mga pagbabago sa mga pahintulot ng mga proseso ng user (pagtukoy ng kahinaan).
Isinasagawa ang integrity check batay sa paghahambing ng mga nakalkulang hash para sa pinakamahalagang lugar ng memorya at mga istruktura ng data ng kernel (IDT (Interrupt Description Table), MSR, system call table, lahat ng procedure at function, interrupt handler, listahan ng mga naka-load na module, content. ng seksyong .text ng mga module, mga katangian ng proseso, atbp.).
Ang pamamaraan ng pag-verify ay isinaaktibo sa pana-panahon sa pamamagitan ng isang timer at kapag nangyari ang iba't ibang mga kaganapan sa kernel (halimbawa, kapag ang setuid, setreuid, fork, exit, execve, do_init_module, atbp. system calls ay naisakatuparan).
Tungkol sa Linux Kernel Runtime Guard
Ang pagtuklas ng posibleng paggamit ng mga pagsasamantala at pagharang ng mga pag-atake ay isinasagawa sa yugto bago ang kernel ay nagbibigay ng access sa mga mapagkukunan (halimbawa, bago buksan ang isang file), ngunit pagkatapos na ang proseso ay nabigyan ng hindi awtorisadong mga pahintulot ( halimbawa, pagbabago ng UID ) .
Kapag ang hindi awtorisadong pag-uugali ng mga proseso ay nakita, sila ay sapilitang tinapos, na sapat na upang harangan ang maraming pagsasamantala. Dahil ang proyekto ay nasa yugto ng pag-unlad at ang mga pag-optimize ay hindi pa nagagawa, ang kabuuang mga gastos sa pagpapatakbo ng module ay humigit-kumulang 6.5%, ngunit sa hinaharap ay pinlano itong makabuluhang bawasan ang figure na ito.
Ang modyul angkop ito kapwa para sa pag-aayos ng proteksyon laban sa mga kilalang pagsasamantala para sa Linux kernel bilang upang kontrahin ang mga pagsasamantala ng hindi pa alam na mga kahinaan, kung hindi sila gagamit ng mga espesyal na hakbang upang iwasan ang LKRG.
Hindi ibinubukod ng mga may-akda ang pagkakaroon ng mga error sa LKRG code at posibleng maling positibo, samakatuwid, ang mga gumagamit ay iniimbitahan na ihambing ang mga panganib ng mga posibleng pagkakamali sa LKRG sa mga benepisyo ng iminungkahing paraan ng proteksyon.
Sa mga positibong katangian ng LKRG, nabanggit na ang mekanismo ng proteksyon ay ginawa sa anyo ng isang mai-load na module, at hindi isang kernel patch, na nagpapahintulot na magamit ito sa mga regular na kernel ng pamamahagi.
Pangunahing bagong tampok ng LKRG 0.9.4
Sa bagong bersyon na ito ng modyul na ipinakita, ito ay naka-highlight na nagdagdag ng suporta para sa OpenRC boot system, pati na rin ang pagdaragdag ng mga tagubilin sa pag-install gamit ang DMMS.
Ang isa pang pagbabago na kapansin-pansin sa bagong bersyon na ito ay iyon nagbibigay ng pagiging tugma sa mga LTS-kernel mula sa Linux 5.15.40+.
Bilang karagdagan dito, binibigyang-diin din na ang disenyo ng output ng mensahe sa log ay muling idinisenyo upang gawing simple ang awtomatikong pagsusuri at mapadali ang pagdama sa panahon ng manu-manong pagsusuri at ang mga mensahe ng LKRG ay may sariling mga kategorya ng log, na ginagawang mas madaling paghiwalayin ang mga ito mula sa ang natitira sa mga mensahe ng kernel.
Sa kabilang banda, nabanggit din iyon binago ang pangalan ng kernel module mula p_lkrg patungong lkrg at ang ang lumang bersyon ng LKRG 0.9.3 ay gumagana pa rin sa mas bagong mga bersyon ng kernel (5.19-rc* sa ngayon). Gayunpaman, para sa pangmatagalang compatibility sa Kernels 5.15.40+, hindi dapat ilapat ang ilang pagbabagong ginawa sa bersyon 0.9.4.
Nabanggit din yan ang ilang mga pagbabago ay isinasaalang-alang nauugnay (ngunit marahil ay naiiba) para sa pagsasama sa pagtatanggol sa sarili ng LKRG, halimbawa, ang runtime configuration nito ay nasa isang memory page na pinananatiling read-only sa halos lahat ng oras, bukod sa iba pang mga pagpapahusay.
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye sa sumusunod na link.
Sa partikular, ang module ay nasubok gamit ang RHEL kernel, OpenVZ/Virtuozzo at Ubuntu. Sa hinaharap magiging posible na ayusin ang proseso ng pagbuo na may binary compatibility para sa iba't ibang sikat na distribusyon.