Το έργο Openwall κυκλοφόρησε την ενότητα πυρήνα LKRG 0.9.2 (Linux Kernel Runtime Guard, σχεδιασμένο για την ανίχνευση και τον αποκλεισμό επιθέσεων και παραβιάσεων της ακεραιότητας της δομής του πυρήνα. Για παράδειγμα, η ενότητα μπορεί να προστατεύσει από μη εξουσιοδοτημένες τροποποιήσεις στον πυρήνα που εκτελείται και από προσπάθειες αλλαγής των δικαιωμάτων των διεργασιών χρήστη (ανίχνευση exploits). Η ενότητα είναι κατάλληλη για την προστασία από exploits γνωστών ευπαθειών του πυρήνα. Linux (για παράδειγμα, σε περιπτώσεις όπου η ενημέρωση του πυρήνα του συστήματος είναι προβληματική) και για την αντιμετώπιση exploits για άγνωστα ακόμη τρωτά σημεία. Ο κώδικας του έργου διανέμεται με την άδεια GPLv2. Λεπτομέρειες σχετικά με την υλοποίηση του LKRG μπορείτε να βρείτε στην αρχική ανακοίνωση του έργου.
Μεταξύ των αλλαγών στη νέα έκδοση:
- Η συμβατότητα με τους πυρήνες είναι εξασφαλισμένη Linux από την έκδοση 5.14 έως την 5.16-rc, καθώς και με τις ενημερώσεις πυρήνα LTS 5.4.118+, 4.19.191+ και 4.14.233+.
- Προστέθηκε υποστήριξη για διάφορες διαμορφώσεις CONFIG_SECCOMP.
- Προστέθηκε υποστήριξη για την παράμετρο πυρήνα "nolkrg" για την απενεργοποίηση του LKRG κατά την εκκίνηση.
- Διορθώθηκε ένα ψευδώς θετικό αποτέλεσμα λόγω μιας συνθήκης κούρσας κατά τον χειρισμό του SECCOMP_FILTER_FLAG_TSYNC.
- Η δυνατότητα χρήσης της ρύθμισης CONFIG_HAVE_STATIC_CALL στους πυρήνες έχει βελτιωθεί. Linux 5.10+ για να μπλοκάρετε συνθήκες αγώνα κατά την εκφόρτωση άλλων μονάδων.
- Διασφαλίστηκε ότι τα ονόματα των ενοτήτων που έχουν αποκλειστεί κατά τη χρήση της ρύθμισης lkrg.block_modules=1 αποθηκεύονται στο αρχείο καταγραφής.
- Υλοποιήθηκε η τοποθέτηση των ρυθμίσεων του sysctl στο αρχείο /etc/sysctl.d/01-lkrg.conf
- Προστέθηκε το αρχείο διαμόρφωσης dkms.conf για το σύστημα DKMS (Dynamic Kernel Module Support) που χρησιμοποιείται για τη δημιουργία modules τρίτων μετά την ενημέρωση του πυρήνα.
- Βελτιωμένη και ενημερωμένη υποστήριξη για builds εντοπισμού σφαλμάτων και συστήματα συνεχούς ενσωμάτωσης.
Πηγή: opennet.ru
