Openwall Project kernel moduli emissio (Linux Kernel Runtime Cohortis), voluit ad deprehendendas et angustos impetus et violationes integritatis structurarum nucleorum. Exempli gratia, modulus contra non legitimos mutationes nuclei accurrentis tueri potest et conatus mutare licentias processuum usoris (deprehensio usu rerum gestarum). Modulus aptus est tum ad tutelam ordinandam contra res iam cognitas pro Linux nucleo (exempli gratia in adiunctis ubi difficile est nucleum in systemate renovare), et ad res pro adhuc ignotas vulnerabilitates contradicere. Project code licentiatus sub GPLv2.
Inter mutationes in versione nova:
- Positio propositi LKRG mutata est, quae non iam dividitur in subsystematis separatis ad reprimendam integritatem et usum rerum determinandum, sed veluti totum opus ad cognoscendas impetus et varias integritatis violationes exhibetur;
- Compatibilitas providetur cum nucleis Linux ab 5.3 ad 5.7, tum cum nucleis cum GCC optimizationibus infestantibus, sine optionibus CONFIG_USB et CONFIG_STACKTRACE vel cum optione CONFIG_UNWINDER_ORC, necnon cum nucleis quae functiones uncinatas LKRG non habent, si possunt solutus est;
- Cum aedificaretur, occasus nuclei quidam nuncius CONFIG_* sedatus est ad errorum significativas nuntios generandos pro ruinis obscuris;
- Subsidiis additis pro sto (ACPI S3, suspendendi ad RAM) et dormiendi modos (S4, suspendendi ad disci) modum;
- DKMS additamentum ad Makefile;
- Experimentalis fulcimentum 32 frenum ARM suggestuum impletum est (probatum in Raspberry Pi 3 B exemplar). Antea praesto AArch64 (ARM64) subsidium dilatatum est ut convenientiam cum Raspberry Pi 4 tabula praeberet;
- Novae hami additae sunt, etiam capax () tractatorem vocant ad res meliores cognoscendas quae manipulare ""Non Domicilii IDs ();
- Nova logica proposita est ad detegendas conatus angustias spatii nominandi (exempli gratia, ex vasis Docker);
- In systemata x86-64, SMAP (Modo Access Praeventionis Supervisoris) frenum inhibetur et applicatur, ut aditus ad spatium usoris intercludat data e codice privilegiato ad nucleum gradum currentis. SMEP (Supervisor Mode Execution Prevention) praesidio antea effectum est;
- Per operationem, occasus LKRG in pagina memoriae ponuntur, quae plerumque solum legitur;
- Logging information that may be utilis for insults (exempli gratia, informationes de inscriptionibus in nucleo) limitatur ad modum debugging (log_level=4 et superius), quod per defaltam debilitatum est.
- Scalabilitas processus investigationis datorum auctus est - loco unius RB arboris ab uno spinlock munito, mensa Nullam 512 RB arborum munita per 512 cincinnos legere-scribere adhibetur;
- Modus exsecutus est et datus per defaltam, in quo integritas processuum identificantium saepe solum ad munus hodiernam sedatus est, et etiam ad operas (excitandas) optionally. Ad alia opera, quae in somno vel laborant sine accessu nuclei API reguntur a LKRG, perscriptio rarius exercetur.
- Novas sysctl et moduli parametros ad LKRG-tuning accesserunt, necnon duo sysctl ad simpliciorem configurationem eligendo e lectis uncinis (profiles) praeparatis ab machinis;
- Default occasus mutati sunt ad aequiorem stateram inter celeritatem detectionis violationis et efficaciam responsionis, ex una parte, et impulsum in effectu et periculo positivorum falsorum, ex altera;
- Fasciculi systematis unitatis redesignati sunt ut moduli LKRG onerent mane in tabernus (optio lineae nuclei mandatum ut modulus disable adhiberi potest);
Inspecta optimizations quae in nova emissione proposita sunt, reductionis effectio cum LKRG 0.8 utens aestimatur in modo 2.5% in defectu ("gravis") et 2% in modo levi ("lucis").
In nuper efficaciam packages detectae rootkits LKRG optimi eventus, identificantes 8 ex 9 probatis rootkits laborantes in gradu nuclei sine positivis falsis (rootkits Diamorphina, Mel Pot Arctos, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit et Sutekh notati sunt, sed Keysniffer, quod est nucleus. modulus, periit cum keylogger, non rootkit in sensu litterali). Ad comparationem, AIDE, OSSEC et Rootkit Venator fasciculi 2 ex 9 rootkits detecti sunt, dum Chkrootkit nullum deprehendere potuit. Eodem tempore, LKRG detectionem radicum in spatio usoris positam non adiuvat, ita maxima efficacia efficitur cum adhibitis coniunctis ADSTATOR et LKRG, quod 14 ex 15 omnium generum radicibus cognoscere potuit.
Accedit, notari potest quod distributio elit eGO coepi paratae factae fasciculis cum DKMS pro Debian, Whonix, Qubes et Kicksecure, et sarcina pro iam updated ad versionem 0.8. Packages cum LKRG etiam in promptu sunt in Russian ΠΈ .
Integritas in LKRG iniecta fit comparando ipsum codicem ac notationem nuclei ac moduli, aliquas magnas notas structuras et CPU uncinis cum reclusis hashes vel exemplaribus correspondentium memoriae arearum, datarum structurarum vel tabularum. Compesculationes et vicissitudines per timorem et in eventuum diversorum actuum reducuntur.
Determinare possibilis usus rerum et obsidendi impetus in scaena exercetur antequam nucleus accessum ad facultates praebet (exempli gratia, antequam limam aperiat), sed post processum licentias alienum accepit (exempli gratia mutando UID). Cum mores non legitimi deteguntur, processus coguntur per defaltam terminare, quod sufficit ad multas res angustas.
Source: opennet.ru