Openwall projekts kodola moduļa izlaišana (Linux Kernel Runtime Guard), kas nodrošina nesankcionētu izmaiņu noteikšanu strādājošajā kodolā (integritātes pārbaude) vai mēģinājumu mainīt lietotāja procesu atļaujas (izmantošanas noteikšana). Modulis ir piemērots gan aizsardzības organizēšanai pret jau zināmiem Linux kodola izvarojumiem (piemēram, situācijās, kad sistēmā ir grūti atjaunināt kodolu), gan arī cīņai pret ekspluatācijām vēl nezināmu ievainojamību gadījumā. Jūs varat lasīt par LKRG funkcijām .
Starp izmaiņām jaunajā versijā:
- Kods ir pārveidots, lai nodrošinātu atbalstu dažādām CPU arhitektūrām. Pievienots sākotnējais atbalsts ARM64 arhitektūrai;
- Saderība tiek nodrošināta ar Linux kodoliem 5.1 un 5.2, kā arī kodoliem, kas izveidoti, veidojot kodolu, neietverot opcijas CONFIG_DYNAMIC_DEBUG,
CONFIG_ACPI un CONFIG_STACKTRACE, kā arī ar kodoliem, kas izveidoti ar opciju CONFIG_STATIC_USERMODEHELPER. Pievienots eksperimentāls atbalsts kodoliem no grsecurity projekta; - Inicializācijas loģika ir būtiski mainīta;
- Integritātes pārbaudītājs ir atkārtoti iespējojis pašjaukšanu un izlabojis sacensību nosacījumu Jump Label dzinējā (*_JUMP_LABEL), kas izraisa strupceļu, inicializējot vienlaikus ar citu moduļu ielādes vai izkraušanas notikumiem.
- Ekspluatācijas noteikšanas kodā ir pievienoti jauni sysctl lkrg.smep_panic (ieslēgts pēc noklusējuma) un lkrg.umh_lock (izslēgts pēc noklusējuma), ir pievienotas papildu pārbaudes SMEP/WP bitam, loģika jaunu sistēmas uzdevumu izsekošanai. ir mainīta, iekšējā loģika sinhronizācijai ar uzdevumu resursiem ir pārveidota, pievienots OverlayFS atbalsts, ievietots Ubuntu Apport baltajā sarakstā.
Avots: opennet.ru