Openwall ပရောဂျက် kernel module ထုတ်လွှတ်မှု (Linux Kernel Runtime Guard) သည် လည်ပတ်နေသော kernel တွင် ခွင့်ပြုချက်မရှိဘဲ ပြောင်းလဲမှုများ (သမာဓိစစ်ဆေးခြင်း) သို့မဟုတ် အသုံးပြုသူ လုပ်ငန်းစဉ်များ၏ ခွင့်ပြုချက်များကို ပြောင်းလဲရန် ကြိုးပမ်းမှုများ ( exploits အသုံးပြုမှုကို ရှာဖွေခြင်း) ကို သေချာစေသည့် (Linux Kernel Runtime Guard)။ မော်ဂျူးသည် Linux kernel အတွက် သိပြီးသား exploits များကို အကာအကွယ်ပေးရန်အတွက် (ဥပမာ၊ စနစ်ရှိ kernel ကို အပ်ဒိတ်လုပ်ရန် ခက်ခဲသော အခြေအနေများတွင်) နှင့် မသိရသေးသော အားနည်းချက်များအတွက် exploits များကို တန်ပြန်ရန်အတွက် နှစ်ခုလုံးအတွက် သင့်လျော်ပါသည်။ LKRG ၏ အင်္ဂါရပ်များအကြောင်း ဖတ်ရှုနိုင်ပါသည်။ .
ဗားရှင်းအသစ်တွင် ပြောင်းလဲမှုများထဲတွင်-
- အမျိုးမျိုးသော CPU ဗိသုကာများကို ပံ့ပိုးပေးရန်အတွက် ကုဒ်ကို ပြန်လည်ပြုပြင်ထားပါသည်။ ARM64 ဗိသုကာလက်ရာအတွက် ကနဦးပံ့ပိုးမှု ထပ်ထည့်ထားသည်။
- Kernel ကိုတည်ဆောက်သောအခါတွင် CONFIG_DYNAMIC_DEBUG ရွေးချယ်စရာများမပါဝင်ဘဲ Linux kernels 5.1 နှင့် 5.2 နှင့် လိုက်ဖက်မှုရှိသည်ကို အာမခံပါသည်။
CONFIG_ACPI နှင့် CONFIG_STACKTRACE နှင့် CONFIG_STATIC_USERMODEHELPER ရွေးချယ်မှုဖြင့် တည်ဆောက်ထားသော kernels များဖြင့်။ grsecurity ပရောဂျက်မှ kernels အတွက် စမ်းသပ်မှု ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်။ - ကနဦးအစပြုခြင်းဆိုင်ရာ ယုတ္တိဗေဒသည် သိသိသာသာ ပြောင်းလဲခဲ့သည်။
- သမာဓိစစ်ဆေးသည့်ကိရိယာသည် မိမိဘာသာ ဟက်ခြင်းကို ပြန်လည်လုပ်ဆောင်ပြီး Jump Label အင်ဂျင် (*_JUMP_LABEL) တွင် ပြိုင်ဆိုင်မှုအခြေအနေအား ပြင်ဆင်ပြီးသည်နှင့် အခြား module များ၏ load သို့မဟုတ် unload event များကဲ့သို့ တချိန်တည်းတွင် deadlock ဖြစ်စေသော၊
- exploit detection code တွင်၊ အသစ်သော sysctl lkrg.smep_panic (မူလအားဖြင့်ဖွင့်ထားသည်) နှင့် lkrg.umh_lock (ပုံမှန်အားဖြင့် off) တို့ကို ထည့်သွင်းထားပြီး၊ SMEP/WP ဘစ်အတွက် နောက်ထပ်စစ်ဆေးမှုများကို ထည့်သွင်းထားပြီး၊ စနစ်အတွင်းရှိ လုပ်ဆောင်စရာအသစ်များကို ခြေရာခံခြင်းအတွက် ယုတ္တိဗေဒ၊ ပြောင်းလဲလိုက်သည်၊၊ လုပ်ဆောင်စရာရင်းမြစ်များနှင့် ထပ်တူပြုခြင်း၏အတွင်းပိုင်းယုတ္တိကို ပြန်လည်ဒီဇိုင်းရေးဆွဲပြီး Ubuntu Apport whitelist တွင် ထည့်သွင်းထားသော OverlayFS အတွက် ပံ့ပိုးမှုထည့်သွင်းထားသည်။
source: opennet.ru