Projet à mur ouvert version du module du noyau (Linux Kernel Runtime Guard), qui assure la détection des modifications non autorisées du noyau en cours d'exécution (vérification d'intégrité) ou des tentatives de modification des autorisations des processus utilisateur (détection de l'utilisation d'exploits). Le module convient à la fois pour organiser la protection contre les exploits déjà connus du noyau Linux (par exemple, dans les situations où il est difficile de mettre à jour le noyau dans le système) et pour contrer les exploits pour des vulnérabilités encore inconnues. Vous pouvez en savoir plus sur les fonctionnalités de LKRG dans .
Parmi les changements de la nouvelle version :
- Le code a été refactorisé pour prendre en charge diverses architectures de processeur. Ajout de la prise en charge initiale de l'architecture ARM64 ;
- La compatibilité est assurée avec les noyaux Linux 5.1 et 5.2, ainsi qu'avec les noyaux construits sans inclure les options CONFIG_DYNAMIC_DEBUG lors de la construction du noyau,
CONFIG_ACPI et CONFIG_STACKTRACE, et avec des noyaux construits avec l'option CONFIG_STATIC_USERMODEHELPER. Ajout du support expérimental pour les noyaux du projet grsecurity ; - La logique d'initialisation a été considérablement modifiée ;
- Le vérificateur d'intégrité a réactivé l'auto-hachage et corrigé une condition de concurrence critique dans le moteur Jump Label (*_JUMP_LABEL) qui provoquait un blocage lors de l'initialisation en même temps que des événements de chargement ou de déchargement d'autres modules ;
- Dans le code de détection d'exploit, de nouveaux sysctl lkrg.smep_panic (activé par défaut) et lkrg.umh_lock (désactivé par défaut) ont été ajoutés, des vérifications supplémentaires pour le bit SMEP/WP ont été ajoutées, la logique de suivi des nouvelles tâches dans le système a été modifié, la logique interne de synchronisation avec les ressources des tâches a été repensée, ajout du support d'OverlayFS, placé dans la liste blanche Ubuntu Apport.
Source: opennet.ru