Openwall жобасы ядролық құрылымдардың шабуылдары мен тұтастығын бұзуды анықтауға және блоктауға арналған LKRG 0.9.2 (Linux Kernel Runtime Guard) ядро модулінің шығарылымын жариялады. Мысалы, модуль жұмыс істеп тұрған ядроға рұқсат етілмеген өзгерістерден және пайдаланушы процестерінің рұқсаттарын өзгерту әрекеттерінен қорғай алады (эксплейттерді пайдалануды анықтау). Модуль бұрыннан белгілі Linux ядросының осалдықтарының эксплойттерінен қорғауды ұйымдастыру үшін де (мысалы, жүйедегі ядроны жаңарту қиын болған жағдайларда) және әлі белгісіз осалдықтардың эксплойттеріне қарсы тұру үшін де қолайлы. Жоба коды GPLv2 лицензиясы бойынша таратылады. LKRG жүзеге асыру ерекшеліктері туралы жобаның алғашқы хабарландыруынан оқи аласыз.
Жаңа нұсқадағы өзгерістердің ішінде:
- Үйлесімділік 5.14-тен 5.16-rc дейінгі Linux ядроларымен, сондай-ақ 5.4.118+, 4.19.191+ және 4.14.233+ LTS ядроларының жаңартуларымен қамтамасыз етілген.
- Әртүрлі CONFIG_SECCOMP конфигурацияларына қолдау қосылды.
- Жүктеу кезінде LKRG өшіру үшін "nolkrg" ядро параметріне қолдау қосылды.
- SECCOMP_FILTER_FLAG_TSYNC өңдеу кезіндегі жарыс жағдайына байланысты жалған позитив түзетілді.
- Басқа модульдерді түсіру кезінде жарыс шарттарын блоктау үшін Linux 5.10+ ядроларында CONFIG_HAVE_STATIC_CALL параметрін пайдалану мүмкіндігі жақсартылды.
- lkrg.block_modules=1 параметрін пайдалану кезінде блокталған модульдердің атаулары журналда сақталады.
- /etc/sysctl.d/01-lkrg.conf файлында sysctl параметрлерін орналастыру жүзеге асырылды.
- Ядро жаңартуынан кейін үшінші тарап модульдерін құру үшін пайдаланылатын DKMS (Динамикалық ядро модулін қолдау) жүйесі үшін dkms.conf конфигурация файлы қосылды.
- Әзірлеу құрылымдары мен үздіксіз интеграциялық жүйелер үшін жақсартылған және жаңартылған қолдау.
Ақпарат көзі: opennet.ru