Dự án Openwall gần đây đã công bố phát hành mô-đun nhân LKRG 0.9.4 (Linux Kernel Runtime Guard), được thiết kế để phát hiện và chặn các cuộc tấn công và vi phạm tính toàn vẹn của cấu trúc hạt nhân.
LKRG được đóng gói dưới dạng một mô-đun nhân có thể tải được cố gắng phát hiện các thay đổi trái phép trong một nhân đang chạy (kiểm tra tính toàn vẹn) hoặc các thay đổi trong quyền của các quy trình người dùng (phát hiện lỗ hổng).
Kiểm tra tính toàn vẹn được thực hiện dựa trên sự so sánh các hàm băm được tính toán cho các vùng bộ nhớ quan trọng nhất và cấu trúc dữ liệu hạt nhân (IDT (Bảng mô tả ngắt), MSR, bảng gọi hệ thống, tất cả các thủ tục và chức năng, trình xử lý ngắt, danh sách các mô-đun được tải, nội dung của phần .text của mô-đun, thuộc tính quy trình, v.v.).
Quy trình xác minh được kích hoạt định kỳ bằng bộ đếm thời gian và khi các sự kiện kernel khác nhau xảy ra (ví dụ: khi setuid, setreuid, fork, exit, execute, do_init_module, v.v. các lệnh gọi hệ thống được thực thi).
Giới thiệu về Linux Kernel Runtime Guard
Việc phát hiện khả năng sử dụng khai thác và ngăn chặn các cuộc tấn công được thực hiện ở giai đoạn trước khi hạt nhân cung cấp quyền truy cập vào tài nguyên (ví dụ: trước khi mở tệp), nhưng sau khi quá trình được cấp quyền trái phép (ví dụ: thay đổi UID) .
Khi hành vi trái phép của các quy trình được phát hiện, chúng sẽ bị buộc phải chấm dứt, điều này đủ để chặn nhiều hoạt động khai thác. Do dự án đang trong giai đoạn phát triển và chưa thực hiện tối ưu hóa nên chi phí vận hành tổng thể của mô-đun là khoảng 6.5%, nhưng trong tương lai dự kiến sẽ giảm đáng kể con số này.
Các mô-đun nó phù hợp cho cả việc tổ chức bảo vệ chống lại các hành vi khai thác đã biết cho nhân Linux để chống lại việc khai thác các lỗ hổng chưa xác định, nếu họ không sử dụng các biện pháp đặc biệt để phá vỡ LKRG.
Các tác giả không loại trừ sự hiện diện của lỗi trong mã LKRG và khả năng dương tính giả, do đó, người dùng được mời so sánh các rủi ro có thể xảy ra sai sót trong LKRG với các lợi ích của phương pháp bảo vệ được đề xuất.
Trong số các thuộc tính tích cực của LKRG, cần lưu ý rằng cơ chế bảo vệ được tạo ra dưới dạng một mô-đun có thể tải được, chứ không phải một bản vá hạt nhân, cho phép nó được sử dụng với các hạt nhân phân phối thông thường.
Tin chính của LKRG 0.9.4
Trong phiên bản mới này của mô-đun được trình bày, nó được đánh dấu rằng hỗ trợ thêm cho hệ thống khởi động OpenRC, cũng như thêm hướng dẫn cài đặt bằng ĐKMS.
Một thay đổi khác nổi bật trong phiên bản mới này là cung cấp khả năng tương thích với LTS-kernel từ Linux 5.15.40+.
Ngoài ra, điều này cũng được nhấn mạnh rằng thiết kế của đầu ra thông báo đến nhật ký đã được thiết kế lại để đơn giản hóa phân tích tự động và tạo điều kiện thuận lợi cho nhận thức trong quá trình phân tích thủ công và các thông báo LKRG có các danh mục nhật ký riêng, giúp dễ dàng tách chúng khỏi phần còn lại của thông điệp hạt nhân.
Mặt khác, nó cũng được đề cập rằng đã thay đổi tên mô-đun hạt nhân từ p_lkrg thành lkrg và phiên bản cũ của LKRG 0.9.3 vẫn hoạt động trong các phiên bản hạt nhân mới hơn (5.19-rc * cho đến nay). Tuy nhiên, để tương thích lâu dài với Kernels 5.15.40+, không phải vì vậy một số thay đổi được thực hiện trong phiên bản 0.9.4 phải được áp dụng.
Nó cũng được đề cập rằng một số thay đổi đang được xem xét liên quan (nhưng có thể khác) để đưa vào LKRG tự vệ, ví dụ: cấu hình thời gian chạy của nó nằm trong trang bộ nhớ được giữ ở chế độ chỉ đọc hầu hết thời gian, trong số các cải tiến khác.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.
Đặc biệt, mô-đun đã được thử nghiệm với nhân RHEL, OpenVZ / Virtuozzo và Ubuntu. Trong tương lai, có thể tổ chức quá trình xây dựng với khả năng tương thích nhị phân cho các bản phân phối phổ biến khác nhau.