مشروع الجدار المفتوح إصدار وحدة النواة (Linux Kernel Runtime Guard)، الذي يضمن اكتشاف التغييرات غير المصرح بها على النواة قيد التشغيل (فحص التكامل) أو محاولات تغيير أذونات عمليات المستخدم (الكشف عن استخدام عمليات الاستغلال). الوحدة مناسبة لتنظيم الحماية ضد عمليات استغلال معروفة بالفعل لنواة Linux (على سبيل المثال، في المواقف التي يصعب فيها تحديث النواة في النظام)، ولمواجهة عمليات استغلال الثغرات غير المعروفة حتى الآن. يمكنك أن تقرأ عن ميزات LKRG في .
من بين التغييرات في الإصدار الجديد:
- تمت إعادة هيكلة الكود لتوفير الدعم لمختلف بنيات وحدة المعالجة المركزية. تمت إضافة الدعم الأولي لبنية ARM64؛
- يتم ضمان التوافق مع نواة Linux 5.1 و5.2، بالإضافة إلى النوى المبنية دون تضمين خيارات CONFIG_DYNAMIC_DEBUG عند بناء النواة،
CONFIG_ACPI وCONFIG_STACKTRACE، ومع أنوية مبنية باستخدام خيار CONFIG_STATIC_USERMODEHELPER. تمت إضافة دعم تجريبي للنوى من مشروع grsecurity؛ - تم تغيير منطق التهيئة بشكل ملحوظ؛
- قام مدقق التكامل بإعادة تمكين التجزئة الذاتية وإصلاح حالة السباق في محرك Jump Label (*_JUMP_LABEL) الذي يتسبب في حالة توقف تام عند التهيئة في نفس وقت تحميل أو إلغاء تحميل الأحداث الخاصة بالوحدات النمطية الأخرى؛
- في كود الكشف عن الاستغلال، تمت إضافة sysctl lkrg.smep_panic الجديد (يتم تشغيله افتراضيًا) وlkrg.umh_lock (إيقاف تشغيله افتراضيًا)، كما تمت إضافة عمليات فحص إضافية لبت SMEP/WP، ومنطق تتبع المهام الجديدة في النظام. تم تغيير المنطق الداخلي للمزامنة مع موارد المهام، وإضافة دعم لـ OverlayFS، ووضعه في القائمة البيضاء لـ Ubuntu Apport.
المصدر: opennet.ru