Projekt Openwall vydání modulu jádra (Linux Kernel Runtime Guard), který zajišťuje detekci neoprávněných změn běžícího jádra (kontrola integrity) nebo pokusů o změnu oprávnění uživatelských procesů (detekce použití exploitů). Modul je vhodný jak pro organizaci ochrany před již známými exploity pro jádro Linuxu (například v situacích, kdy je obtížné aktualizovat jádro v systému), tak pro boj proti exploitům pro dosud neznámé zranitelnosti. O funkcích LKRG si můžete přečíst v .
Mezi změny v nové verzi:
- Kód byl přepracován, aby poskytoval podporu pro různé architektury CPU. Přidána počáteční podpora pro architekturu ARM64;
- Kompatibilita je zajištěna s linuxovými jádry 5.1 a 5.2, stejně jako s jádry vytvořenými bez zahrnutí voleb CONFIG_DYNAMIC_DEBUG při sestavování jádra,
CONFIG_ACPI a CONFIG_STACKTRACE a s jádry vytvořenými s možností CONFIG_STATIC_USERMODEHELPER. Přidána experimentální podpora pro jádra z projektu grsecurity; - Inicializační logika byla výrazně změněna;
- Kontrola integrity znovu povolila vlastní hašování a opravila spor v enginu Jump Label (*_JUMP_LABEL), který způsobuje uváznutí při inicializaci současně s událostmi načtení nebo uvolnění jiných modulů.
- V kódu detekce exploitu byly přidány nové sysctl lkrg.smep_panic (ve výchozím nastavení zapnuto) a lkrg.umh_lock (ve výchozím nastavení vypnuto), byly přidány další kontroly pro bit SMEP/WP, logika pro sledování nových úloh v systému byla změněna, byla přepracována vnitřní logika synchronizace se zdroji úloh, přidána podpora pro OverlayFS, umístěná na whitelistu Ubuntu Apport.
Zdroj: opennet.ru