萨尔瓦多PROYECTO Openwall 最近宣布发布 LKRG 0.9.4 内核模块 (Linux Kernel Runtime Guard),旨在检测和阻止攻击和违反内核结构完整性的行为。
LKRG 封装为 一个可加载的内核模块,试图检测未经授权的更改 在正在运行的内核中(完整性检查)或用户进程权限的更改(漏洞检测)。
完整性检查是基于对最重要的内存区域和内核数据结构(IDT(中断描述表)、MSR、系统调用表、所有过程和函数、中断处理程序、加载模块列表、内容)的计算哈希值的比较来执行的.text 部分的模块、进程属性等)。
验证程序通过定时器定期激活 以及各种内核事件发生时(例如,执行setuid、setreuid、fork、exit、execve、do_init_module等系统调用时)。
关于 Linux Kernel Runtime Guard
在内核提供对资源的访问之前(例如,在打开文件之前),但在进程被授予未经授权的权限之后(例如,更改 UID),检测可能使用的漏洞利用和阻止攻击.
当检测到进程的未授权行为时,它们会被强制终止,这足以阻止许多漏洞利用。 由于项目处于开发阶段,尚未进行优化,模块的整体运营成本约为6.5%,但未来计划大幅降低这一数字。
模块 它既适合于组织针对已知漏洞的保护 对于 Linux 内核 为了应对未知漏洞的利用, 如果他们不使用特殊措施来规避 LKRG。
作者不排除 LKRG 代码中存在错误和可能的误报, 因此,请用户将 LKRG 中可能出现的错误风险与建议的保护方法的好处进行比较。
在 LKRG 的积极特性中,值得注意的是保护机制是以可加载模块的形式制作的,而不是内核补丁,这允许它与常规分发内核一起使用。
LKRG 0.9.4 的主要新特性
在所展示的这个新版本的模块中,强调了 添加了对 OpenRC 引导系统的支持,以及使用添加安装说明 数据库管理系统。
在这个新版本中突出的另一个变化是 提供与 Linux 5.15.40+ 的 LTS 内核的兼容性。
除此之外,还强调了输出到日志的消息设计经过重新设计,以简化自动化分析,便于人工分析时的感知,LKRG消息有自己的日志类别,更容易将它们与其余的内核消息。
另一方面,也有人提到 将内核模块名称从 p_lkrg 更改为 lkrg 而且 旧版本的 LKRG 0.9.3 仍然可以使用 在较新的内核版本中(目前为 5.19-rc*)。 但是,为了与内核 5.15.40+ 长期兼容,并非必须应用在 0.9.4 版中所做的一些更改。
还提到 正在考虑一些改变 相关(但可能不同) 加入LKRG自卫, 例如,它的运行时配置在内存页面中,大部分时间都保持只读状态,以及其他改进。
最后 如果您有兴趣了解更多有关它的信息,您可以在中查看详细信息 以下链接。
特别是,该模块已经使用 RHEL 内核、OpenVZ/Virtuozzo 和 Ubuntu 进行了测试。 将来,可以为不同的流行发行版组织具有二进制兼容性的构建过程。