Proġett Openwall rilaxx tal-modulu tal-qalba (Linux Kernel Runtime Guard), iddisinjat biex jiskopri u jimblokka attakki u vjolazzjonijiet tal-integrità tal-istrutturi tal-kernel. Pereżempju, il-modulu jista 'jipproteġi kontra bidliet mhux awtorizzati fil-qalba li qed taħdem u tentattivi biex jibdlu l-permessi tal-proċessi tal-utent (jiskopri l-użu ta' sfruttamenti). Il-modulu huwa adattat kemm għall-organizzazzjoni tal-protezzjoni kontra exploits diġà magħrufa għall-kernel tal-Linux (pereżempju, f'sitwazzjonijiet fejn huwa diffiċli li taġġorna l-kernel fis-sistema), kif ukoll biex jiġġieled sfrutti għal vulnerabbiltajiet għadhom mhux magħrufa. Kodiċi tal-proġett liċenzjat taħt GPLv2.
Fost il-bidliet fil-verżjoni l-ġdida:
- Il-pożizzjonament tal-proġett LKRG inbidel, li m'għadux maqsum f'sottosistemi separati għall-iċċekkjar tal-integrità u d-determinazzjoni tal-użu tal-isfruttamenti, iżda huwa ppreżentat bħala prodott komplut għall-identifikazzjoni ta 'attakki u vjolazzjonijiet varji tal-integrità;
- Il-kompatibilità hija pprovduta ma 'kernels Linux minn 5.3 sa 5.7, kif ukoll ma' kernels miġbura b'ottimizzazzjonijiet GCC aggressivi, mingħajr l-għażliet CONFIG_USB u CONFIG_STACKTRACE jew bl-għażla CONFIG_UNWINDER_ORC, kif ukoll ma 'kernels li m'għandhomx funzjonijiet LKRG hooked, jekk jistgħu. jiġi dispensat minn;
- Meta tinbena, xi settings obbligatorji tal-kernel CONFIG_* jiġu ċċekkjati biex jiġġeneraw messaġġi ta' żball sinifikanti minflok ħabtiet oskuri;
- Appoġġ miżjud għall-modi standby (ACPI S3, sospiżi għal RAM) u sleep (S4, sospiżi fuq disk);
- Miżjud appoġġ DKMS għal Makefile;
- Ġie implimentat appoġġ sperimentali għal pjattaformi ARM 32-bit (ittestjat fuq Raspberry Pi 3 Mudell B). L-appoġġ AArch64 (ARM64) disponibbli qabel ġie estiż biex jipprovdi kompatibilità mal-bord Raspberry Pi 4;
- Ġew miżjuda ganċijiet ġodda, inkluż kapaċi() call handler biex jidentifika aħjar l-isfruttamenti li jimmanipulaw "", mhux ipproċessa IDs ();
- Ġiet proposta loġika ġdida biex jiġu skoperti tentattivi biex jaħarbu r-restrizzjonijiet tal-ispazju tal-isem (pereżempju, minn kontenituri Docker);
- Fuq sistemi x86-64, il-bit SMAP (Supervisor Mode Access Prevention) huwa ċċekkjat u applikat, iddisinjat biex jimblokka l-aċċess għad-dejta tal-ispazju tal-utent minn kodiċi privileġġat li jaħdem fil-livell tal-kernel. Il-protezzjoni SMEP (Supervisor Mode Execution Prevention) kienet implimentata qabel;
- Waqt it-tħaddim, is-settings tal-LKRG jitqiegħdu f'paġna tal-memorja li normalment tinqara biss;
- L-informazzjoni tal-illoggjar li tista 'tkun l-aktar utli għall-attakki (per eżempju, informazzjoni dwar l-indirizzi fil-kernel) hija limitata għall-mod ta' debugging (log_level=4 u ogħla), li hija diżattivata b'mod awtomatiku.
- L-iskalabbiltà tad-database tat-traċċar tal-proċess żdiedet - minflok siġra RB waħda protetta minn spinlock wieħed, tintuża tabella hash ta '512 siġra RB protetta minn 512 serraturi read-write;
- Modalità ġiet implimentata u ppermettiet awtomatikament, li fiha l-integrità tal-identifikaturi tal-proċess spiss tiġi kkontrollata biss għall-kompitu attwali, u wkoll b'mod fakultattiv għal kompiti attivati (tqum). Għal kompiti oħra li huma fi stat ta 'rqad jew jaħdmu mingħajr aċċess għall-API tal-kernel ikkontrollata minn LKRG, il-kontroll isir inqas ta' spiss.
- Miżjud sysctl ġodda u parametri tal-modulu għall-irfinar LKRG, kif ukoll żewġ sysctl għal konfigurazzjoni simplifikata billi tagħżel minn settijiet ta 'settings ta' rfinar (profili) ippreparati mill-iżviluppaturi;
- Is-settings default ġew mibdula biex jinkiseb bilanċ aktar bilanċjat bejn il-veloċità ta 'skoperta ta' vjolazzjonijiet u l-effettività tar-rispons, minn naħa waħda, u l-impatt fuq il-prestazzjoni u r-riskju ta 'pożittivi foloz, min-naħa l-oħra;
- Il-fajl tal-unità systemd ġie ddisinjat mill-ġdid biex jgħabbi l-modulu LKRG kmieni fil-boot (għażla tal-linja tal-kmand tal-kernel tista' tintuża biex il-modulu jiġi ddiżattivat);
B'kont meħud tal-ottimizzazzjonijiet proposti fir-rilaxx il-ġdid, it-tnaqqis tal-prestazzjoni meta jintuża LKRG 0.8 huwa stmat għal 2.5% fil-modalità default ("tqil") u 2% fil-modalità ħafifa ("dawl").
Fi miżmum reċentement effettività ta 'pakketti għall-iskoperta rootkits LKRG l-aħjar riżultati, li jidentifikaw 8 minn 9 rootkits ittestjati li jaħdmu fil-livell tal-qalba mingħajr pożittivi foloz (rootkits Diamorphine, Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit u Sutekh ġew identifikati, iżda Keysniffer, li huwa qalba modulu, intilfet ma 'keylogger, mhux rootkit fis-sens letterali). Għal tqabbil, il-pakketti AIDE, OSSEC u Rootkit Hunter skoprew 2 minn 9 rootkits, filwaqt li Chkrootkit ma skopra l-ebda. Fl-istess ħin, LKRG ma jappoġġjax l-iskoperta ta 'rootkits li jinsabu fl-ispazju tal-utent, għalhekk l-akbar effiċjenza tinkiseb meta tintuża taħlita ta' AIDE u LKRG, li għamilha possibbli li jiġu identifikati 14 minn 15 rootkits ta 'kull tip.
Barra minn hekk, jista 'jiġi nnotat li l-iżviluppatur tad-distribuzzjoni bdew pakketti lesti b'DKMS għal Debian, Whonix, Qubes u Kicksecure, u pakkett għal diġà aġġornat għall-verżjoni 0.8. Pakketti bl-LKRG huma wkoll disponibbli bir-Russu и .
Il-verifika tal-integrità fl-LKRG titwettaq billi jitqabbel il-kodiċi attwali u d-dejta tal-qalba u l-moduli, xi strutturi ta 'dejta importanti u settings tas-CPU b'hashes maħżuna jew kopji taż-żoni tal-memorja korrispondenti, strutturi tad-dejta jew reġistri. Il-kontrolli jiġu attivati kemm perjodikament permezz ta' timer kif ukoll malli jseħħu diversi avvenimenti.
Id-determinazzjoni tal-użu possibbli tal-isfruttamenti u l-imblukkar tal-attakki titwettaq fl-istadju qabel ma l-kernel jipprovdi aċċess għar-riżorsi (per eżempju, qabel ma jinfetaħ fajl), iżda wara li l-proċess ikun irċieva permessi mhux awtorizzati (per eżempju, il-bidla tal-UID). Meta tiġi skoperta mġiba mhux awtorizzata, il-proċessi huma sfurzati jtemmu b'mod awtomatiku, li huwa biżżejjed biex jimblokka ħafna sfrutti.
Sors: opennet.ru