ಓಪನ್ವಾಲ್ ಪ್ರಾಜೆಕ್ಟ್ ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಬಿಡುಗಡೆ (ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ರನ್ಟೈಮ್ ಗಾರ್ಡ್), ಕರ್ನಲ್ ರಚನೆಗಳ ಸಮಗ್ರತೆಯ ದಾಳಿಗಳು ಮತ್ತು ಉಲ್ಲಂಘನೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ನಿರ್ಬಂಧಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಚಾಲನೆಯಲ್ಲಿರುವ ಕರ್ನಲ್ಗೆ ಅನಧಿಕೃತ ಬದಲಾವಣೆಗಳಿಂದ ಮಾಡ್ಯೂಲ್ ರಕ್ಷಿಸುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರ ಪ್ರಕ್ರಿಯೆಗಳ ಅನುಮತಿಗಳನ್ನು ಬದಲಾಯಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ (ಶೋಷಣೆಗಳ ಬಳಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು). ಲಿನಕ್ಸ್ ಕರ್ನಲ್ಗಾಗಿ ಈಗಾಗಲೇ ತಿಳಿದಿರುವ ಶೋಷಣೆಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಸಂಘಟಿಸಲು ಮಾಡ್ಯೂಲ್ ಸೂಕ್ತವಾಗಿದೆ (ಉದಾಹರಣೆಗೆ, ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಕರ್ನಲ್ ಅನ್ನು ನವೀಕರಿಸಲು ಕಷ್ಟಕರವಾದ ಸಂದರ್ಭಗಳಲ್ಲಿ), ಮತ್ತು ಇನ್ನೂ ತಿಳಿದಿಲ್ಲದ ದುರ್ಬಲತೆಗಳಿಗಾಗಿ ಶೋಷಣೆಗಳನ್ನು ಎದುರಿಸಲು. ಪ್ರಾಜೆಕ್ಟ್ ಕೋಡ್ GPLv2 ಅಡಿಯಲ್ಲಿ ಪರವಾನಗಿ ಪಡೆದಿದೆ.
ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿನ ಬದಲಾವಣೆಗಳಲ್ಲಿ:
- LKRG ಯೋಜನೆಯ ಸ್ಥಾನೀಕರಣವನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ, ಇದನ್ನು ಇನ್ನು ಮುಂದೆ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಶೋಷಣೆಗಳ ಬಳಕೆಯನ್ನು ನಿರ್ಧರಿಸಲು ಪ್ರತ್ಯೇಕ ಉಪವ್ಯವಸ್ಥೆಗಳಾಗಿ ವಿಂಗಡಿಸಲಾಗಿಲ್ಲ, ಆದರೆ ದಾಳಿಗಳು ಮತ್ತು ವಿವಿಧ ಸಮಗ್ರತೆಯ ಉಲ್ಲಂಘನೆಗಳನ್ನು ಗುರುತಿಸಲು ಸಂಪೂರ್ಣ ಉತ್ಪನ್ನವಾಗಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗುತ್ತದೆ;
- CONFIG_USB ಮತ್ತು CONFIG_STACKTRACE ಆಯ್ಕೆಗಳಿಲ್ಲದೆ ಅಥವಾ CONFIG_UNWINDER_ORC ಆಯ್ಕೆಯೊಂದಿಗೆ ಆಕ್ರಮಣಕಾರಿ GCC ಆಪ್ಟಿಮೈಸೇಶನ್ಗಳೊಂದಿಗೆ ಕಂಪೈಲ್ ಮಾಡಲಾದ ಕರ್ನಲ್ಗಳೊಂದಿಗೆ 5.3 ರಿಂದ 5.7 ವರೆಗಿನ Linux ಕರ್ನಲ್ಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ಒದಗಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಅವುಗಳು ಕಾರ್ಯನಿರ್ವಹಿಸದ LKG ಕರ್ನಲ್ಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸದಿದ್ದರೆ ವಿತರಿಸಲಾಗುವುದು;
- ನಿರ್ಮಿಸುವಾಗ, ಅಸ್ಪಷ್ಟ ಕ್ರ್ಯಾಶ್ಗಳ ಬದಲಿಗೆ ಅರ್ಥಪೂರ್ಣ ದೋಷ ಸಂದೇಶಗಳನ್ನು ರಚಿಸಲು ಕೆಲವು ಕಡ್ಡಾಯ CONFIG_* ಕರ್ನಲ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ;
- ಸ್ಟ್ಯಾಂಡ್ಬೈ (ACPI S3, RAM ಗೆ ಅಮಾನತುಗೊಳಿಸು) ಮತ್ತು ನಿದ್ರೆ (S4, ಡಿಸ್ಕ್ಗೆ ಅಮಾನತುಗೊಳಿಸು) ವಿಧಾನಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
- ಮೇಕ್ಫೈಲ್ಗೆ DKMS ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
- 32-ಬಿಟ್ ARM ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳಿಗೆ ಪ್ರಾಯೋಗಿಕ ಬೆಂಬಲವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ (ರಾಸ್ಪ್ಬೆರಿ ಪೈ 3 ಮಾಡೆಲ್ B ನಲ್ಲಿ ಪರೀಕ್ಷಿಸಲಾಗಿದೆ). ಹಿಂದೆ ಲಭ್ಯವಿರುವ AArch64 (ARM64) ಬೆಂಬಲವನ್ನು Raspberry Pi 4 ಬೋರ್ಡ್ನೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯನ್ನು ಒದಗಿಸಲು ವಿಸ್ತರಿಸಲಾಗಿದೆ;
- "ಕುಶಲತೆಯ ಶೋಷಣೆಗಳನ್ನು ಉತ್ತಮವಾಗಿ ಗುರುತಿಸಲು ಸಮರ್ಥ() ಕರೆ ಹ್ಯಾಂಡ್ಲರ್ ಸೇರಿದಂತೆ ಹೊಸ ಕೊಕ್ಕೆಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.", ಪ್ರಕ್ರಿಯೆ ID ಗಳಲ್ಲ ();
- ನೇಮ್ಸ್ಪೇಸ್ ನಿರ್ಬಂಧಗಳಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ಪ್ರಯತ್ನಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೊಸ ತರ್ಕವನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ (ಉದಾಹರಣೆಗೆ, ಡಾಕರ್ ಕಂಟೈನರ್ಗಳಿಂದ);
- x86-64 ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ, SMAP (ಮೇಲ್ವಿಚಾರಕ ಮೋಡ್ ಪ್ರವೇಶ ತಡೆಗಟ್ಟುವಿಕೆ) ಬಿಟ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅನ್ವಯಿಸಲಾಗುತ್ತದೆ, ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಸವಲತ್ತು ಪಡೆದ ಕೋಡ್ನಿಂದ ಬಳಕೆದಾರರ ಸ್ಪೇಸ್ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. SMEP (ಸೂಪರ್ವೈಸರ್ ಮೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಪ್ರಿವೆನ್ಷನ್) ರಕ್ಷಣೆಯನ್ನು ಈ ಹಿಂದೆ ಅಳವಡಿಸಲಾಗಿತ್ತು;
- ಕಾರ್ಯಾಚರಣೆಯ ಸಮಯದಲ್ಲಿ, LKRG ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಓದಲು ಮಾತ್ರ ಇರುವ ಮೆಮೊರಿ ಪುಟದಲ್ಲಿ ಇರಿಸಲಾಗುತ್ತದೆ;
- ದಾಳಿಗಳಿಗೆ ಹೆಚ್ಚು ಉಪಯುಕ್ತವಾದ ಮಾಹಿತಿಯನ್ನು ಲಾಗಿಂಗ್ ಮಾಡುವುದು (ಉದಾಹರಣೆಗೆ, ಕರ್ನಲ್ನಲ್ಲಿನ ವಿಳಾಸಗಳ ಕುರಿತು ಮಾಹಿತಿ) ಡೀಬಗ್ ಮಾಡುವ ಮೋಡ್ಗೆ ಸೀಮಿತವಾಗಿದೆ (log_level=4 ಮತ್ತು ಹೆಚ್ಚಿನದು), ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ.
- ಪ್ರಕ್ರಿಯೆಯ ಟ್ರ್ಯಾಕಿಂಗ್ ಡೇಟಾಬೇಸ್ನ ಸ್ಕೇಲೆಬಿಲಿಟಿಯನ್ನು ಹೆಚ್ಚಿಸಲಾಗಿದೆ - ಒಂದು ಸ್ಪಿನ್ಲಾಕ್ನಿಂದ ರಕ್ಷಿಸಲ್ಪಟ್ಟ ಒಂದು RB ಮರದ ಬದಲಿಗೆ, 512 ರೀಡ್-ರೈಟ್ ಲಾಕ್ಗಳಿಂದ ರಕ್ಷಿಸಲ್ಪಟ್ಟ 512 RB ಮರಗಳ ಹ್ಯಾಶ್ ಟೇಬಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ;
- ಒಂದು ಮೋಡ್ ಅನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಇದರಲ್ಲಿ ಪ್ರಕ್ರಿಯೆ ಗುರುತಿಸುವಿಕೆಗಳ ಸಮಗ್ರತೆಯನ್ನು ಪ್ರಸ್ತುತ ಕಾರ್ಯಕ್ಕಾಗಿ ಮಾತ್ರ ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಐಚ್ಛಿಕವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಿದ (ಎಚ್ಚರಗೊಳ್ಳುವ) ಕಾರ್ಯಗಳಿಗಾಗಿ. ನಿದ್ರಾವಸ್ಥೆಯಲ್ಲಿರುವ ಅಥವಾ LKRG ನಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಕರ್ನಲ್ API ಅನ್ನು ಪ್ರವೇಶಿಸದೆ ಕೆಲಸ ಮಾಡುವ ಇತರ ಕಾರ್ಯಗಳಿಗಾಗಿ, ಚೆಕ್ ಅನ್ನು ಕಡಿಮೆ ಬಾರಿ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ.
- ಫೈನ್-ಟ್ಯೂನಿಂಗ್ LKRG ಗಾಗಿ ಹೊಸ sysctl ಮತ್ತು ಮಾಡ್ಯೂಲ್ ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಡೆವಲಪರ್ಗಳು ಸಿದ್ಧಪಡಿಸಿದ ಫೈನ್-ಟ್ಯೂನಿಂಗ್ ಸೆಟ್ಟಿಂಗ್ಗಳ (ಪ್ರೊಫೈಲ್ಗಳು) ಸೆಟ್ಗಳಿಂದ ಆಯ್ಕೆ ಮಾಡುವ ಮೂಲಕ ಸರಳೀಕೃತ ಕಾನ್ಫಿಗರೇಶನ್ಗಾಗಿ ಎರಡು sysctl;
- ಉಲ್ಲಂಘನೆಗಳ ಪತ್ತೆ ವೇಗ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಯ ಪರಿಣಾಮಕಾರಿತ್ವದ ನಡುವೆ ಹೆಚ್ಚು ಸಮತೋಲಿತ ಸಮತೋಲನವನ್ನು ಸಾಧಿಸಲು ಡೀಫಾಲ್ಟ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ, ಒಂದೆಡೆ, ಮತ್ತು ಕಾರ್ಯಕ್ಷಮತೆಯ ಮೇಲಿನ ಪರಿಣಾಮ ಮತ್ತು ತಪ್ಪು ಧನಾತ್ಮಕತೆಯ ಅಪಾಯ, ಮತ್ತೊಂದೆಡೆ;
- ಬೂಟ್ನಲ್ಲಿ LKRG ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು systemd ಯುನಿಟ್ ಫೈಲ್ ಅನ್ನು ಮರುವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ (ಮಾಡ್ಯೂಲ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಕರ್ನಲ್ ಆಜ್ಞಾ ಸಾಲಿನ ಆಯ್ಕೆಯನ್ನು ಬಳಸಬಹುದು);
ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ ಪ್ರಸ್ತಾಪಿಸಲಾದ ಆಪ್ಟಿಮೈಸೇಶನ್ಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, LKRG 0.8 ಅನ್ನು ಬಳಸುವಾಗ ಕಾರ್ಯಕ್ಷಮತೆಯ ಕಡಿತವು ಡೀಫಾಲ್ಟ್ ಮೋಡ್ನಲ್ಲಿ ("ಹೆವಿ") 2.5% ಮತ್ತು ಲೈಟ್ ಮೋಡ್ನಲ್ಲಿ ("ಬೆಳಕು") 2% ಎಂದು ಅಂದಾಜಿಸಲಾಗಿದೆ.
ಇತ್ತೀಚೆಗೆ ನಡೆದ ಕಾರ್ಯಕ್ರಮದಲ್ಲಿ ರೂಟ್ಕಿಟ್ಗಳು LKRG ಅನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಪ್ಯಾಕೇಜುಗಳ ಪರಿಣಾಮಕಾರಿತ್ವ ಉತ್ತಮ ಫಲಿತಾಂಶಗಳು, ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ 8 ಪರೀಕ್ಷಿತ ರೂಟ್ಕಿಟ್ಗಳನ್ನು ಗುರುತಿಸುವುದು ತಪ್ಪು ಧನಾತ್ಮಕತೆಗಳಿಲ್ಲದೆ (ರೂಟ್ಕಿಟ್ಗಳು ಡೈಮಾರ್ಫಿನ್, ಹನಿ ಪಾಟ್ ಬೇರ್ಸ್, ಲಿಲಿಆಫ್ದಿ ವ್ಯಾಲಿ, Nuk9 Gh3st, Puszek, Reptile, Rootfoo Linux Rootkit ಮತ್ತು Sutekh ಅನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಆದರೆ ಇದು ಕೀಸ್ನಿಫರ್, ಮಾಡ್ಯೂಲ್, ಕೀಲಾಗರ್ನೊಂದಿಗೆ ತಪ್ಪಿಸಿಕೊಂಡಿದೆ, ಅಕ್ಷರಶಃ ಅರ್ಥದಲ್ಲಿ ರೂಟ್ಕಿಟ್ ಅಲ್ಲ). ಹೋಲಿಕೆಗಾಗಿ, AIDE, OSSEC ಮತ್ತು ರೂಟ್ಕಿಟ್ ಹಂಟರ್ ಪ್ಯಾಕೇಜುಗಳು 0 ರೂಟ್ಕಿಟ್ಗಳಲ್ಲಿ 2 ಅನ್ನು ಪತ್ತೆಹಚ್ಚಿವೆ, ಆದರೆ Chkrootkit ಯಾವುದನ್ನೂ ಪತ್ತೆಹಚ್ಚಲಿಲ್ಲ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಬಳಕೆದಾರರ ಸ್ಥಳದಲ್ಲಿರುವ ರೂಟ್ಕಿಟ್ಗಳ ಪತ್ತೆಯನ್ನು LKRG ಬೆಂಬಲಿಸುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ AIDE ಮತ್ತು LKRG ಸಂಯೋಜನೆಯನ್ನು ಬಳಸುವಾಗ ಹೆಚ್ಚಿನ ದಕ್ಷತೆಯನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ, ಇದು ಎಲ್ಲಾ ಪ್ರಕಾರಗಳ 9 ರಲ್ಲಿ 14 ರೂಟ್ಕಿಟ್ಗಳನ್ನು ಗುರುತಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ವಿತರಣಾ ಡೆವಲಪರ್ ಎಂದು ಗಮನಿಸಬಹುದು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ Debian, Whonix, Qubes ಮತ್ತು Kicksecure ಗಾಗಿ DKMS ನೊಂದಿಗೆ ಸಿದ್ದವಾಗಿರುವ ಪ್ಯಾಕೇಜುಗಳು ಮತ್ತು ಒಂದು ಪ್ಯಾಕೇಜ್ ಈಗಾಗಲೇ ಆವೃತ್ತಿ 0.8 ಗೆ ನವೀಕರಿಸಲಾಗಿದೆ. LKRG ಯೊಂದಿಗೆ ಪ್ಯಾಕೇಜುಗಳು ರಷ್ಯನ್ ಭಾಷೆಯಲ್ಲಿಯೂ ಲಭ್ಯವಿದೆ и .
ಕರ್ನಲ್ ಮತ್ತು ಮಾಡ್ಯೂಲ್ಗಳ ನೈಜ ಕೋಡ್ ಮತ್ತು ಡೇಟಾ, ಕೆಲವು ಪ್ರಮುಖ ಡೇಟಾ ರಚನೆಗಳು ಮತ್ತು CPU ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಸಂಗ್ರಹಿಸಿದ ಹ್ಯಾಶ್ಗಳು ಅಥವಾ ಅನುಗುಣವಾದ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳು, ಡೇಟಾ ರಚನೆಗಳು ಅಥವಾ ರೆಜಿಸ್ಟರ್ಗಳ ಪ್ರತಿಗಳೊಂದಿಗೆ ಹೋಲಿಸುವ ಮೂಲಕ LKRG ನಲ್ಲಿ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ. ತಪಾಸಣೆಗಳನ್ನು ಟೈಮರ್ ಮೂಲಕ ಮತ್ತು ವಿವಿಧ ಘಟನೆಗಳ ಸಂಭವಿಸುವಿಕೆಯ ಮೇಲೆ ನಿಯತಕಾಲಿಕವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ.
ಕರ್ನಲ್ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವ ಮೊದಲು (ಉದಾಹರಣೆಗೆ, ಫೈಲ್ ತೆರೆಯುವ ಮೊದಲು), ಆದರೆ ಪ್ರಕ್ರಿಯೆಯು ಅನಧಿಕೃತ ಅನುಮತಿಗಳನ್ನು ಪಡೆದ ನಂತರ (ಉದಾಹರಣೆಗೆ, UID ಅನ್ನು ಬದಲಾಯಿಸುವುದು) ಶೋಷಣೆಗಳ ಸಂಭವನೀಯ ಬಳಕೆಯನ್ನು ನಿರ್ಧರಿಸುವುದು ಮತ್ತು ದಾಳಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವುದು. ಅನಧಿಕೃತ ನಡವಳಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಿದಾಗ, ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಕೊನೆಗೊಳಿಸಲು ಒತ್ತಾಯಿಸಲಾಗುತ್ತದೆ, ಇದು ಅನೇಕ ಶೋಷಣೆಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಸಾಕಾಗುತ್ತದೆ.
ಮೂಲ: opennet.ru