La Openwall-projekto publikigis la liberigon de la kernomodulo LKRG 0.9.2 (Linux Kernel Runtime Guard), desegnita por detekti kaj bloki atakojn kaj malobservojn de la integreco de kernaj strukturoj. Ekzemple, la modulo povas protekti kontraŭ neaŭtorizitaj ŝanĝoj al la kuranta kerno kaj provoj ŝanĝi la permesojn de uzantprocezoj (detektante la uzon de ekspluatoj). La modulo taŭgas kaj por organizi protekton kontraŭ ekspluatoj de jam konataj Linukso-kernaj vundeblecoj (ekzemple, en situacioj kie estas malfacile ĝisdatigi la kernon en la sistemo), kaj por kontraŭbatali ekspluatojn por ankoraŭ nekonataj vundeblecoj. La projektkodo estas distribuita sub la permesilo GPLv2. Pri la trajtoj de la efektivigo de LKRG vi povas legi en la unua anonco de la projekto.
Inter la ŝanĝoj en la nova versio:
- Kongrueco estas provizita per Linukso-kernoj de 5.14 ĝis 5.16-rc, same kiel kun ĝisdatigoj al LTS-kernoj 5.4.118+, 4.19.191+ kaj 4.14.233+.
- Aldonita subteno por diversaj CONFIG_SECCOP-agordoj.
- Aldonita subteno por la "nolkrg" kerno-parametro por malaktivigi LKRG ĉe lanĉo.
- Korektis falsan pozitivon pro raskondiĉo dum prilaborado de SECCOMP_FILTER_FLAG_TSYNC.
- Plibonigis la kapablon uzi la agordon CONFIG_HAVE_STATIC_CALL en Linuksaj kernoj 5.10+ por bloki vetkurkondiĉojn dum malŝarĝo de aliaj moduloj.
- La nomoj de moduloj blokitaj dum uzado de la agordo lkrg.block_modules=1 estas konservitaj en la protokolo.
- Realigita lokigo de sysctl-agordoj en la dosieron /etc/sysctl.d/01-lkrg.conf
- Aldonita dkms.conf agorda dosiero por la sistemo DKMS (Dynamic Kernel Module Support) uzata por konstrui triajn modulojn post kerna ĝisdatigo.
- Plibonigita kaj ĝisdatigita subteno por evolukonstruaĵoj kaj kontinuaj integrigaj sistemoj.
fonto: opennet.ru