د LKRG 0.8 ماډل خوشې کول ترڅو د لینوکس کرنل کې د زیانونو د استخراج په وړاندې ساتنه وکړي

د Openwall پروژه خپور د کرنل ماډل خوشې کول LKRG 0.8 (Linux Kernel Runtime Guard)، د کرنل جوړښتونو بشپړتیا د بریدونو او سرغړونو کشف او بندولو لپاره ډیزاین شوی. د مثال په توګه، ماډل کولی شي د چلولو کرنل کې د غیر مجاز بدلونونو په وړاندې ساتنه وکړي او د کاروونکي پروسو اجازې بدلولو هڅه وکړي (د استثمار کارول کشف کول). ماډل دواړه د لینکس کرنل لپاره د دمخه پیژندل شوي کارونې پروړاندې محافظت تنظیم کولو لپاره مناسب دی (د مثال په توګه ، په داسې شرایطو کې چې په سیسټم کې د کرنل تازه کول ستونزمن وي) ، او د نامعلومو زیانونو لپاره د استحصال سره د مبارزې لپاره. د پروژې کوډ لخوا توزیع شوی د GPLv2 لاندې جواز لري.

په نوې نسخه کې د بدلونونو په منځ کې:

• د LKRG پروژې موقعیت بدل شوی، کوم چې نور د بشپړتیا چک کولو او د استخراج کارولو ټاکلو لپاره په جلا فرعي سیسټمونو ویشل شوي ندي، مګر د بریدونو او مختلف بشپړتیا سرغړونو پیژندلو لپاره د بشپړ محصول په توګه وړاندې کیږي؛
• مطابقت د 5.3 څخه تر 5.7 پورې د لینکس کرنلونو سره چمتو شوی ، په بیله بیا د CONFIG_USB او CONFIG_STACKTRACE اختیارونو پرته یا د CONFIG_UNWINDER_ORC اختیارونو سره ، او همدارنګه د هغه کرنلونو سره چې فعالیت یې نه وي کړی ، که چیرې LRK نه وي فعالیت کولی شي. سره توزیع شي
• کله چې جوړیږي، ځینې لازمي CONFIG_* د کرنل ترتیبات چک کیږي ترڅو د ناڅرګنده کریشونو پرځای معنی لرونکي خطا پیغامونه رامینځته کړي؛
• د سټینډ بای (ACPI S3، رام ته ځنډول) او خوب (S4، ډیسک ته ځنډول) حالتونو لپاره ملاتړ اضافه شوی؛
• Makefile ته د DKMS ملاتړ اضافه شوی؛
• د 32-bit ARM پلیټ فارمونو لپاره تجرباتي ملاتړ پلي شوی (د Raspberry Pi 3 ماډل B کې ازمول شوی). پخوا موجود AArch64 (ARM64) ملاتړ پراخ شوی ترڅو د Raspberry Pi 4 بورډ سره مطابقت چمتو کړي؛
• نوي هکونه اضافه شوي ، په شمول د وړ () کال هینډلر په شمول د هغه کارونې ښه پیژندلو لپاره چې لاسوهنه کوي "وړتیاوېد IDs پروسس نه کوي (اعتبارونه);
• د نوم ځای محدودیتونو څخه د تیښتې هڅې کشف کولو لپاره نوی منطق وړاندیز شوی (د مثال په توګه د ډاکر کانټینرونو څخه)؛
• په x86-64 سیسټمونو کې، د SMAP (د څارونکي حالت لاسرسي مخنیوي) بټ چک شوی او پلي شوی، د کارنیل په کچه د چلونکي امتیاز لرونکي کوډ څخه د کاروونکي ځای ډیټا ته د لاسرسي بندولو لپاره ډیزاین شوی. SMEP (د څارونکي حالت د اجرا کولو مخنیوی) محافظت مخکې پلي شوی و؛
• د عملیاتو په جریان کې، د LKRG ترتیبات د حافظې پاڼې کې ځای پرځای شوي چې معمولا یوازې لوستل کیږي؛
• د ننوتلو معلومات چې کیدای شي د بریدونو لپاره خورا ګټور وي (د مثال په توګه، په کرنل کې د پتې په اړه معلومات) د ډیبګ کولو حالت (log_level=4 او لوړ) پورې محدود دي، کوم چې د ډیفالټ لخوا غیر فعال دی.
• د پروسې تعقیب ډیټابیس اندازه کولو وړتیا لوړه شوې - د یوې RB ونې پرځای چې د سپن لاک لخوا خوندي شوي ، د 512 RB ونو یو هش میز د 512 لوستلو لیکلو لاکونو لخوا خوندي شوی؛
• یو حالت د ډیفالټ لخوا پلي شوی او فعال شوی ، په کوم کې چې د پروسې پیژندونکو بشپړتیا اکثرا یوازې د اوسني دندې لپاره چک کیږي ، او په اختیاري توګه د فعالو (بیدار کیدو) دندو لپاره هم. د نورو دندو لپاره چې د خوب په حالت کې وي یا د LKRG لخوا کنټرول شوي د کرنل API ته لاسرسي پرته کار کوي ، چیک لږ ځله ترسره کیږي.
• د LKRG د ښایسته کولو لپاره نوي sysctl او ماډل پارامترونه اضافه شوي، او همدارنګه د پراختیا کونکو لخوا چمتو شوي د ښی ټیوننګ ترتیباتو (پروفایلونو) سیټونو څخه غوره کولو سره د ساده ترتیب لپاره دوه sysctl؛
• ډیفالټ ترتیبات بدل شوي ترڅو د سرغړونو د کشف سرعت او د ځواب اغیزمنتوب تر مینځ ډیر متوازن توازن ترلاسه کړي، له یوې خوا، او په فعالیت باندې اغیزه او له بلې خوا د غلط مثبت خطر خطر؛
• د سیسټمډ واحد فایل د بوټ په پیل کې د LKRG ماډل بارولو لپاره له سره ډیزاین شوی (د کرنل کمانډ لاین اختیار د ماډل غیر فعالولو لپاره کارول کیدی شي)؛

په نوي ریلیز کې وړاندیز شوي اصلاحات په پام کې نیولو سره، د LKRG 0.8 کارولو په وخت کې د فعالیت کمښت 2.5٪ په ډیفالټ حالت ("درانه") او 2٪ په رڼا حالت ("رڼا") کې اټکل شوی.

په دې وروستیو کې ترسره شو څیړنه د روټکیټس LKRG کشف کولو لپاره د کڅوړو مؤثریت ښودل غوره پایلې، د 8 ازمویل شوي روټکیټونو څخه 9 د کرنل په کچه کار کوي پرته له غلط مثبتو (rootkits Diamorphine, Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit او Sutekh پیژندل شوي، مګر Keysniffer، کوم چې یو دی. ماډل، د کیلوګر سره ورک شوی و، نه په لفظي معنی کې روټکیټ). د پرتله کولو لپاره، AIDE، OSSEC او Rootkit هنټر کڅوړې د 2 روټکیټونو څخه 9 کشف کړي، پداسې حال کې چې Chkrootkit هیڅ ونه موندل. په ورته وخت کې ، LKRG د کارونکي ځای کې موقعیت لرونکي روټکیټونو کشف کولو ملاتړ نه کوي ، نو ترټولو لوی موثریت ترلاسه کیږي کله چې د AIDE او LKRG ترکیب کاروي ، کوم چې د هر ډول 14 روټکیټونو څخه 15 پیژندل ممکن کړي.

برسېره پردې، دا د توزیع پراختیا کونکي یادونه کیدی شي وینکسکس شروع شو شکل ورکول د Debian، Whonix، Qubes او Kicksecur لپاره د DKMS سره چمتو شوي کڅوړې، او د دې لپاره یو بسته آرکس لینکس لا دمخه 0.8 نسخه ته تازه شوی. د LKRG سره کڅوړې په روسیه کې هم شتون لري لینوکس и اسټرا لینکس.

په LKRG کې د بشپړتیا چک کول د کرنل او ماډلونو اصلي کوډ او ډیټا پرتله کولو سره ترسره کیږي ، ځینې مهم ډیټا جوړښتونه او د CPU تنظیمات د ذخیره شوي هشونو یا د اړوندو حافظې ساحو ، ډیټا جوړښتونو یا راجسټرونو کاپي سره. چکونه په دوره توګه د ټیمر لخوا او د مختلفو پیښو په پیښو کې فعال کیږي.

د احتمالي کارونې کارول او د بریدونو مخنیوی کول په مرحله کې ترسره کیږي مخکې لدې چې کرنل سرچینو ته لاسرسی چمتو کړي (د مثال په توګه ، د فایل خلاصولو دمخه) ، مګر وروسته له دې چې پروسې غیر مجاز اجازې ترلاسه کړې (د مثال په توګه ، د UID بدلول). کله چې غیر مجاز چلند وموندل شي، پروسې د ډیفالټ په واسطه پای ته رسولو ته اړ کیږي، کوم چې د ډیری استحصالونو مخنیوي لپاره کافي دي.

سرچینه: opennet.ru