Openwall プロジェクトは、カーネル構造の整合性に対する攻撃や違反を検出してブロックするように設計されたカーネル モジュール LKRG 0.9.2 (Linux Kernel Runtime Guard) のリリースを公開しました。 たとえば、このモジュールは、実行中のカーネルへの不正な変更や、ユーザー プロセスの権限の変更 (エクスプロイトの使用の検出) の試みから保護できます。 このモジュールは、既知の Linux カーネルの脆弱性のエクスプロイトに対する保護を組織する場合 (たとえば、システム内のカーネルを更新することが難しい状況など)、およびまだ未知の脆弱性のエクスプロイトに対抗する場合の両方に適しています。 プロジェクト コードは GPLv2 ライセンスに基づいて配布されます。 LKRG の実装の機能については、プロジェクトの最初の発表で読むことができます。
新しいバージョンの変更点には次のようなものがあります。
- 互換性は、Linux カーネル 5.14 から 5.16-rc と、LTS カーネル 5.4.118+、4.19.191+、および 4.14.233+ へのアップデートで提供されます。
- さまざまな CONFIG_SECCOMP 構成のサポートが追加されました。
- ブート時に LKRG を非アクティブにするための「nolkrg」カーネル パラメータのサポートが追加されました。
- SECCOMP_FILTER_FLAG_TSYNC の処理時の競合状態による誤検知を修正しました。
- Linux カーネル 5.10 以降で CONFIG_HAVE_STATIC_CALL 設定を使用して、他のモジュールをアンロードする際の競合状態をブロックする機能が改善されました。
- lkrg.block_modules=1 設定の使用時にブロックされたモジュールの名前はログに保存されます。
- ファイル /etc/sysctl.d/01-lkrg.conf に sysctl 設定の配置を実装しました。
- カーネルの更新後にサードパーティのモジュールを構築するために使用される DKMS (Dynamic Kernel Module Support) システム用の dkms.conf 構成ファイルを追加しました。
- 開発ビルドと継続的統合システムのサポートが改善および更新されました。
出所: オープンネット.ru