Linux kernel အတွင်းရှိ အားနည်းချက်များကို အသုံးချခြင်းမှ ကာကွယ်ရန် LKRG 0.8 module ကို ထုတ်ဝေခြင်း

Openwall ပရောဂျက် ပုံနှိပ်ထုတ်ဝေ kernel module ထုတ်လွှတ်မှု LKRG ၀.၇ (Linux Kernel Runtime Guard)၊ တိုက်ခိုက်မှုများနှင့် kernel တည်ဆောက်ပုံများ၏ ခိုင်မာမှုကို ချိုးဖောက်မှုများကို ရှာဖွေပြီး ပိတ်ဆို့ရန် ဒီဇိုင်းပြုလုပ်ထားသည်။ ဥပမာအားဖြင့်၊ မော်ဂျူးသည် လည်ပတ်နေသော kernel အတွက် ခွင့်ပြုချက်မရှိဘဲ ပြောင်းလဲမှုများကို ကာကွယ်နိုင်ပြီး အသုံးပြုသူလုပ်ငန်းစဉ်များ၏ ခွင့်ပြုချက်များကို ပြောင်းလဲရန် ကြိုးပမ်းမှုများ ( exploits များအသုံးပြုမှုကို ရှာဖွေခြင်း)။ မော်ဂျူးသည် Linux kernel အတွက် သိပြီးသား exploits များကို အကာအကွယ်ပေးရန်အတွက် (ဥပမာ၊ စနစ်ရှိ kernel ကို အပ်ဒိတ်လုပ်ရန် ခက်ခဲသော အခြေအနေများတွင်) နှင့် မသိရသေးသော အားနည်းချက်များအတွက် အသုံးချမှုများကို တန်ပြန်ခြင်းအတွက် နှစ်ခုလုံးအတွက် သင့်လျော်ပါသည်။ ပရောဂျက်ကုဒ် ဖြန့်ဝေသည် GPLv2 အောက်တွင် လိုင်စင်ရထားသည်။

ဗားရှင်းအသစ်တွင် ပြောင်းလဲမှုများထဲတွင်-

• LKRG ပရောဂျက်၏ နေရာချထားမှုကို ပြောင်းလဲထားပြီး၊ သမာဓိကိုစစ်ဆေးခြင်းနှင့် အမြတ်ထုတ်မှုများကို အဆုံးအဖြတ်ပေးခြင်းအတွက် သီးခြားစနစ်ခွဲများအဖြစ် ပိုင်းခြားခြင်းမပြုတော့ဘဲ တိုက်ခိုက်မှုများနှင့် သမာဓိချိုးဖောက်မှုများကို ဖော်ထုတ်ရန်အတွက် ပြီးပြည့်စုံသောထုတ်ကုန်တစ်ခုအဖြစ် တင်ဆက်ထားပါသည်။
• CONFIG_USB နှင့် CONFIG_STACKTRACE ရွေးစရာများမပါဘဲ သို့မဟုတ် CONFIG_UNWINDER_ORC ရွေးစရာများအပြင် ၎င်းတို့တွင် LKRG မပါဝင်သည့် kernels များဖြင့် တွဲဖက်လုပ်ဆောင်နိုင်ပါက၊ ဖြန်းပေးသည်။
• တည်ဆောက်သည့်အခါ၊ အချို့သော CONFIG_* kernel ဆက်တင်များကို မထင်မရှား ပျက်စီးမှုများအစား အဓိပ္ပာယ်ပြည့်ဝသော အမှားမက်ဆေ့ချ်များ ဖန်တီးရန် အမှန်ခြစ်ထားသည်။
• အသင့်အနေအထား (ACPI S3၊ RAM တွင် ဆိုင်းငံ့ထားရန်) နှင့် အိပ်စက်ခြင်း (S4၊ ဒစ်ခ်သို့ ဆိုင်းငံ့ရန်) မုဒ်များကို ထပ်လောင်းပံ့ပိုးပေးသည်။
• Makefile သို့ DKMS ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်။
• 32-bit ARM ပလပ်ဖောင်းများအတွက် စမ်းသပ်ပံ့ပိုးမှုကို အကောင်အထည်ဖော်ခဲ့သည် (Raspberry Pi 3 Model B တွင် စမ်းသပ်ထားသည်)။ Raspberry Pi 64 ဘုတ်အဖွဲ့နှင့် တွဲဖက်အသုံးပြုနိုင်စေရန် ယခင်က ရရှိနိုင်သော AArch64 (ARM4) ပံ့ပိုးမှုကို တိုးချဲ့ထားပါသည်။
• "ကြိုးကိုင်ထားသည့် အမြတ်ထုတ်မှုများကို ပိုမိုကောင်းမွန်စွာ ခွဲခြားသတ်မှတ်နိုင်ရန် စွမ်းရည်() call handler အပါအဝင် ချိတ်အသစ်များ ထည့်သွင်းထားပါသည်။စွမ်းရည်"လုပ်ငန်းစဉ် ID များ မဟုတ်ပါ။အခွင့်အာဏာ);
• namespace ကန့်သတ်ချက်များမှလွတ်မြောက်ရန်ကြိုးပမ်းမှုများကိုရှာဖွေရန်အတွက်ယုတ္တိဗေဒအသစ်အားအဆိုပြုခဲ့သည် (ဥပမာ၊ Docker ကွန်တိန်နာများမှ);
• x86-64 စနစ်များတွင်၊ SMAP (Supervisor Mode Access Prevention) ဘစ်ကို စစ်ဆေးပြီး အသုံးပြုကာ kernel အဆင့်တွင် လုပ်ဆောင်နေသော အခွင့်ထူးခံကုဒ်မှ အသုံးပြုသူနေရာလွတ်ဒေတာများသို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ရန် ဒီဇိုင်းထုတ်ထားသည်။ SMEP (Supervisor Mode Execution Prevention) အကာအကွယ်ကို ယခင်က အကောင်အထည်ဖော်ခဲ့သည်။
• လည်ပတ်နေစဉ်အတွင်း၊ LKRG ဆက်တင်များကို အများအားဖြင့် ဖတ်ရန်သာဖြစ်သော မမ်မိုရီစာမျက်နှာတစ်ခုတွင် ထားရှိထားပါသည်။
• တိုက်ခိုက်မှုများအတွက် အသုံးဝင်ဆုံးဖြစ်နိုင်သည့် အချက်အလက်များကို မှတ်တမ်းတင်ခြင်း (ဥပမာ၊ kernel ရှိ လိပ်စာများအကြောင်း အချက်အလက်) ကို မူရင်းအတိုင်း ပိတ်ထားသည့် အမှားရှာမုဒ် (log_level=4 နှင့် အထက်) တွင် ကန့်သတ်ထားသည်။
• လုပ်ငန်းစဉ် ခြေရာခံ ဒေတာဘေ့စ်၏ အတိုင်းအတာကို တိုးမြှင့်လိုက်သည် - spinlock တစ်ခုဖြင့် ကာကွယ်ထားသော RB သစ်ပင်တစ်ပင်အစား၊ 512 read-write locks ဖြင့် ကာကွယ်ထားသော 512 RB သစ်ပင်များ၏ hash table ကို အသုံးပြုပါသည်။
• မုဒ်တစ်ခုအား ပုံသေဖြင့် အကောင်အထည်ဖော်ပြီး ဖွင့်ထားပြီး၊ ယင်းတွင် လုပ်ငန်းစဉ်သတ်မှတ်ခြင်းစနစ်များ၏ သမာဓိကို လက်ရှိလုပ်ဆောင်စရာအတွက်သာ စစ်ဆေးလေ့ရှိပြီး activated (နိုးထခြင်း) လုပ်ဆောင်စရာများအတွက်လည်း ရွေးချယ်နိုင်သည်။ အိပ်စက်ခြင်းအခြေအနေတွင်ရှိသော သို့မဟုတ် LKRG ထိန်းချုပ်ထားသော kernel API ကို မဝင်ရောက်ဘဲ အလုပ်လုပ်သော အခြားလုပ်ဆောင်စရာများအတွက်၊ စစ်ဆေးမှုကို မကြာခဏပြုလုပ်သည်။
• ဆော့ဖ်ဝဲပြင်ဆင်သည့် ညှိခြင်းဆက်တင်များ (ပရိုဖိုင်များ) အစုံမှ ရွေးချယ်ခြင်းဖြင့် ရိုးရှင်းသော ဖွဲ့စည်းမှုပုံစံအတွက် sysctl နှင့် module parameters များအပြင် sysctl နှစ်ခုပါ ထည့်သွင်းထားပါသည်။
• တစ်ဖက်တွင်၊ တစ်ဖက်တွင်၊ တစ်ဖက်တွင်၊ တစ်ဖက်တွင်၊ စွမ်းဆောင်ရည်နှင့် မှားယွင်းသောအပြုသဘောများ၏အန္တရာယ်တို့ကြား မျှတသောချိန်ခွင်လျှာတစ်ခုရရှိရန် ပုံသေဆက်တင်များကို ပြောင်းလဲထားပါသည်။
• boot အစောပိုင်းတွင် LKRG module ကို load လုပ်ရန်အတွက် systemd ယူနစ်ဖိုင်ကို ပြန်လည်ဒီဇိုင်းရေးဆွဲထားပြီး ( module ကိုပိတ်ရန် kernel command line option ကိုသုံးနိုင်သည်)

ထုတ်ဝေမှုအသစ်တွင် အဆိုပြုထားသည့် ပိုမိုကောင်းမွန်အောင်လုပ်ဆောင်မှုများကို ထည့်သွင်းတွက်ချက်ခြင်းဖြင့် LKRG 0.8 ကို အသုံးပြုသည့်အခါ စွမ်းဆောင်ရည်ကို 2.5% ("လေးလံသော") နှင့် အလင်းမုဒ် ("အလင်း") တွင် 2% ခန့်မှန်းထားသည်။

မကြာသေးမီက ကျင်းပခဲ့သည်။ လေ့လာ rootkits LKRG ကိုရှာဖွေခြင်းအတွက် packages များ၏ထိရောက်မှု ပြသခဲ့သည် အကောင်းဆုံးရလဒ်များ၊ မှားယွင်းသောအပြုသဘောများမပါဘဲ kernel အဆင့်တွင်အလုပ်လုပ်သော kernel အဆင့်တွင်အလုပ်လုပ်သော 8 မှ 9 ခုကို ခွဲခြားသတ်မှတ်ခြင်းမှာ အကောင်းဆုံးရလဒ်များ (rootkits Diamorphine၊ Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit နှင့် Sutekh ကို ရှာဖွေတွေ့ရှိခဲ့သည်၊ သို့သော် Keysniffer၊ module သည် ပကတိသဘောအရ rootkit မဟုတ်ဘဲ keylogger တစ်ခုဖြင့် လွတ်သွားသည်)။ နှိုင်းယှဉ်ရန်အတွက် AIDE၊ OSSEC နှင့် Rootkit Hunter ပက်ကေ့ဂျ်များသည် rootkits 2 ခုအနက် 9 ခုကို တွေ့ရှိခဲ့ပြီး Chkrootkit သည် မည်သည့်အရာကိုမျှ ရှာမတွေ့ပါ။ တစ်ချိန်တည်းမှာပင်၊ LKRG သည် အသုံးပြုသူနေရာရှိ rootkits များကို ထောက်လှမ်းခြင်းမပြုသောကြောင့် AIDE နှင့် LKRG တို့ကို ပေါင်းစပ်အသုံးပြုခြင်းဖြင့် အမျိုးအစားအားလုံး၏ rootkits 14 ခုအနက် 15 ခုကို ခွဲခြားသိရှိနိုင်စေရန်အတွက် အကြီးမားဆုံးသောထိရောက်မှုအား ရရှိခဲ့ပါသည်။

ထို့အပြင်၊ ဖြန့်ဖြူးရေးဆော့ဖ်ဝဲကို မှတ်သားနိုင်သည်။ Whonix ကျွန်မစတင် ပုံပြင် Debian၊ Whonix၊ Qubes နှင့် Kicksecure အတွက် DKMS ဖြင့် အဆင်သင့်လုပ်ထားသော ပက်ကေ့ဂျ်များနှင့် ပက်ကေ့ခ်ျတစ်ခု Arch Linux ကို ဗားရှင်း 0.8 သို့ အပ်ဒိတ်လုပ်ထားပြီးဖြစ်သည်။ LKRG ပါသော ပက်ကေ့ခ်ျများကို ရုရှားဘာသာဖြင့်လည်း ရရှိနိုင်ပါသည်။ alt linux и AstraLinux.

LKRG တွင် သမာဓိစစ်ဆေးခြင်းကို kernel နှင့် modules များ၏ အမှန်တကယ်ကုဒ်နှင့် ဒေတာ၊ အချို့သော အရေးကြီးသော ဒေတာဖွဲ့စည်းပုံများနှင့် CPU ဆက်တင်များကို သက်ဆိုင်ရာ memory ဧရိယာများ၊ ဒေတာဖွဲ့စည်းပုံများ သို့မဟုတ် မှတ်ပုံတင်ထားသော မိတ္တူများနှင့်အတူ သိမ်းဆည်းထားသော hashes သို့မဟုတ် မိတ္တူများကို နှိုင်းယှဉ်ခြင်းဖြင့် လုပ်ဆောင်ပါသည်။ စစ်ဆေးမှုများကို အချိန်တိုင်းကိရိယာဖြင့် အချိန်နှင့်အမျှ နှင့် အမျိုးမျိုးသော ဖြစ်ရပ်များ ပေါ်ပေါက်လာသောအခါတွင် စစ်ဆေးမှုများကို လုပ်ဆောင်ပါသည်။

kernel သည် အရင်းအမြစ်များထံ ဝင်ရောက်ခွင့်မပေးမီ (ဥပမာ၊ ဖိုင်တစ်ခုမဖွင့်မီ)၊ သို့သော် လုပ်ငန်းစဉ်သည် ခွင့်ပြုချက်မရှိဘဲ ခွင့်ပြုချက်များကို လက်ခံရရှိပြီးနောက် (ဥပမာ UID ကို ပြောင်းလဲခြင်း) မပြုမီတွင် ဖြစ်နိုင်ချေရှိသော အသုံးချမှုများနှင့် တိုက်ခိုက်မှုများကို အသုံးပြုခြင်းအား ဆုံးဖြတ်ခြင်းအား ဆုံးဖြတ်ခြင်းအား လုပ်ဆောင်သည်။ ခွင့်ပြုချက်မရှိဘဲ အပြုအမူများကို တွေ့ရှိသောအခါ၊ လုပ်ငန်းစဉ်များသည် exploits အများအပြားကို ပိတ်ဆို့ရန် လုံလောက်သော ပုံမှန်အားဖြင့် ရပ်တန့်ရန် ခိုင်းစေပါသည်။

source: opennet.ru