Pāhana Openwall ka hoʻokuʻu ʻana o ka module kernel (Linux Kernel Runtime Guard), e hōʻoiaʻiʻo ana i ka ʻike ʻana i nā hoʻololi ʻole i ka kernel holo (ka nānā pono) a i ʻole e hoʻāʻo e hoʻololi i nā ʻae o nā kaʻina mea hoʻohana (ʻike i ka hoʻohana ʻana i nā mea hoʻohana). He kūpono ka module no ka hoʻonohonoho ʻana i ka pale ʻana i nā hana i ʻike mua ʻia no ka kernel Linux (no ka laʻana, i nā kūlana paʻakikī ke hoʻonui i ka kernel i loko o ka ʻōnaehana), a no ka hoʻopaʻa ʻana i nā hana no nā nāwaliwali ʻike ʻole ʻia. Hiki iā ʻoe ke heluhelu e pili ana i nā hiʻohiʻona o LKRG ma .
Ma waena o nā hoʻololi i ka mana hou:
- Ua hoʻoponopono hou ʻia ke code e hāʻawi i ke kākoʻo no nā ʻano hana CPU like ʻole. Hoʻohui i ke kākoʻo mua no ka hoʻolālā ARM64;
- Hoʻopaʻa ʻia ka hoʻohālikelike me nā kernels Linux 5.1 a me 5.2, a me nā kernels i kūkulu ʻia me ka ʻole o ka hoʻokomo ʻana i nā koho CONFIG_DYNAMIC_DEBUG i ke kūkulu ʻana i ka kernel,
CONFIG_ACPI a me CONFIG_STACKTRACE, a me nā kernel i kūkulu ʻia me ke koho CONFIG_STATIC_USERMODEHELPER. Hoʻohui i ke kākoʻo hoʻokolohua no nā kernels mai ka papahana grsecurity; - Ua hoʻololi nui ʻia ka loiloi hoʻomaka;
- Ua ho'ā hou ka mea nānā pono i ka hashing pono'ī a hoʻopaʻa i kahi kūlana heihei ma ka mīkini Jump Label (*_JUMP_LABEL) e hoʻopau ai i ka wā e hoʻomaka ai i ka manawa like me ka hoʻouka a wehe ʻana i nā hanana o nā modula ʻē aʻe;
- Ma ka code detection exploit, ua hoʻohui ʻia ka sysctl lkrg.smep_panic hou (ma ka paʻamau) a me lkrg.umh_lock (off by default), ua hoʻohui ʻia nā loiloi hou no ka bit SMEP/WP, ka loiloi no ka nānā ʻana i nā hana hou i ka ʻōnaehana. ua hoʻololi ʻia, ua hoʻolālā hou ʻia ka loiloi kūloko o ka hoʻonohonoho ʻana me nā kumuwaiwai hana, hoʻohui i ke kākoʻo no OverlayFS, waiho ʻia i ka papa inoa keʻokeʻo ʻo Ubuntu Apport.
Source: opennet.ru