Το έργο Openwall δημοσίευσε την κυκλοφορία της μονάδας πυρήνα LKRG 0.9.2 (Linux Kernel Runtime Guard), που έχει σχεδιαστεί για να ανιχνεύει και να αποκλείει επιθέσεις και παραβιάσεις της ακεραιότητας των δομών του πυρήνα. Για παράδειγμα, η λειτουργική μονάδα μπορεί να προστατεύσει από μη εξουσιοδοτημένες αλλαγές στον εκτελούμενο πυρήνα και από προσπάθειες αλλαγής των δικαιωμάτων των διεργασιών χρήστη (εντοπίζοντας τη χρήση εκμεταλλεύσεων). Η λειτουργική μονάδα είναι κατάλληλη τόσο για την οργάνωση προστασίας από εκμεταλλεύσεις ήδη γνωστών τρωτών σημείων του πυρήνα Linux (για παράδειγμα, σε περιπτώσεις όπου είναι δύσκολο να ενημερώσετε τον πυρήνα στο σύστημα), όσο και για την αντιμετώπιση εκμεταλλεύσεων για άγνωστα ακόμη τρωτά σημεία. Ο κώδικας του έργου διανέμεται με την άδεια GPLv2. Μπορείτε να διαβάσετε για τα χαρακτηριστικά της υλοποίησης του LKRG στην πρώτη ανακοίνωση του έργου.
Μεταξύ των αλλαγών στη νέα έκδοση:
- Παρέχεται συμβατότητα με πυρήνες Linux από 5.14 έως 5.16-rc, καθώς και με ενημερώσεις σε πυρήνες LTS 5.4.118+, 4.19.191+ και 4.14.233+.
- Προστέθηκε υποστήριξη για διάφορες διαμορφώσεις CONFIG_SECCOMP.
- Προστέθηκε υποστήριξη για την παράμετρο πυρήνα "nolkrg" για απενεργοποίηση του LKRG κατά την εκκίνηση.
- Διορθώθηκε ένα ψευδώς θετικό λόγω συνθήκης αγώνα κατά την επεξεργασία του SECCOMP_FILTER_FLAG_TSYNC.
- Βελτιώθηκε η δυνατότητα χρήσης της ρύθμισης CONFIG_HAVE_STATIC_CALL στους πυρήνες Linux 5.10+ για τον αποκλεισμό των συνθηκών αγώνα κατά την εκφόρτωση άλλων λειτουργικών μονάδων.
- Τα ονόματα των λειτουργικών μονάδων που έχουν αποκλειστεί κατά τη χρήση της ρύθμισης lkrg.block_modules=1 αποθηκεύονται στο αρχείο καταγραφής.
- Υλοποιήθηκε η τοποθέτηση των ρυθμίσεων sysctl στο αρχείο /etc/sysctl.d/01-lkrg.conf
- Προστέθηκε αρχείο διαμόρφωσης dkms.conf για το σύστημα DKMS (Dynamic Kernel Module Support) που χρησιμοποιείται για τη δημιουργία λειτουργικών μονάδων τρίτων μετά από ενημέρωση πυρήνα.
- Βελτιωμένη και ενημερωμένη υποστήριξη για δομές ανάπτυξης και συστήματα συνεχούς ολοκλήρωσης.
Πηγή: opennet.ru