該項目 Openwall 最近宣布發布 LKRG 0.9.4 內核模塊 (Linux Kernel Runtime Guard),旨在檢測和阻止攻擊和違反內核結構完整性的行為。
LKRG 封裝為 一個可加載的內核模塊,試圖檢測未經授權的更改 在正在運行的內核中(完整性檢查)或用戶進程權限的更改(漏洞檢測)。
完整性檢查是基於對最重要的內存區域和內核數據結構(IDT(中斷描述表)、MSR、系統調用表、所有過程和函數、中斷處理程序、加載模塊列表、內容)的計算哈希值的比較來執行的.text 部分的模塊、進程屬性等)。
驗證程序通過定時器定期激活 以及各種內核事件發生時(例如,執行setuid、setreuid、fork、exit、execve、do_init_module等系統調用時)。
關於 Linux Kernel Runtime Guard
在內核提供對資源的訪問之前(例如,在打開文件之前),但在進程被授予未經授權的權限之後(例如,更改 UID),檢測可能使用的漏洞利用和阻止攻擊.
當檢測到進程的未授權行為時,它們會被強制終止,這足以阻止許多漏洞利用。 由於項目處於開發階段,尚未進行優化,模塊的整體運營成本約為6.5%,但未來計劃大幅降低這一數字。
模塊 它既適合組織針對已知漏洞的保護 對於 Linux 內核 為了應對未知漏洞的利用, 如果他們不使用特殊措施來規避 LKRG。
作者不排除 LKRG 代碼中存在錯誤和可能的誤報, 因此,請用戶將 LKRG 中可能出現的錯誤風險與建議的保護方法的好處進行比較。
在 LKRG 的積極特性中,值得注意的是,保護機制是以可加載模塊的形式製作的,而不是內核補丁,這允許它與常規分發內核一起使用。
LKRG 0.9.4 的主要新特性
在所展示的這個新版本的模塊中,強調了 添加了對 OpenRC 引導系統的支持,以及使用添加安裝說明 數據庫管理系統。
在這個新版本中突出的另一個變化是 提供與 Linux 5.15.40+ 的 LTS 內核的兼容性。
除此之外,還強調了輸出到日誌的消息設計經過重新設計,以簡化自動化分析,便於人工分析時的感知,LKRG消息有自己的日誌類別,更容易將它們與其餘的內核消息。
另一方面,也有人提到 將內核模塊名稱從 p_lkrg 更改為 lkrg 和 舊版本的 LKRG 0.9.3 仍然可以使用 在較新的內核版本中(目前為 5.19-rc*)。 但是,為了與內核 5.15.40+ 長期兼容,並非必須應用在 0.9.4 版中所做的一些更改。
還提到 正在考慮一些改變 相關(但可能不同) 加入LKRG自衛, 例如,它的運行時配置在內存頁面中,大部分時間都保持只讀狀態,以及其他改進。
終於 如果您有興趣了解更多信息,您可以在中查看詳細信息 以下鏈接。
特別是,該模塊已經使用 RHEL 內核、OpenVZ/Virtuozzo 和 Ubuntu 進行了測試。 將來,可以為不同的流行發行版組織具有二進制兼容性的構建過程。