Mashruuca darbiga furan module kernel sii daayo (Linux Kernel Runtime Guard), oo loogu talagalay in lagu ogaado oo uu joojiyo weerarrada iyo xadgudubyada sharafta qaab-dhismeedka kernel-ka. Tusaale ahaan, cutubku wuxuu ka ilaalin karaa isbeddellada aan la oggolayn ee kernel-ka socda iyo isku dayga lagu beddelayo oggolaanshaha hababka adeegsadaha (ogaanshaha isticmaalka ka faa'iidaysiga). Module-ku wuxuu ku habboon yahay labadaba abaabulka ka-faa'iidaysiga horeba loo yaqaan ee kernel-ka Linux (tusaale ahaan, xaaladaha ay adag tahay in la cusboonaysiiyo kernel-ka nidaamka), iyo ka-hortagga ka faa'iidaysiga dayacannada aan weli la garanayn. Koodhka mashruuca shatiga ku haysta GPLv2.
Waxaa ka mid ah isbeddelada nooca cusub:
- Meelaynta mashruuca LKRG waa la bedelay, kaas oo aan hadda loo qaybin nidaam hoosaadyo gaar ah oo lagu hubinayo daacadnimada iyo go'aaminta isticmaalka ka faa'iidaysiga, laakiin loo soo bandhigay sida badeecad dhamaystiran oo lagu aqoonsanayo weerarrada iyo xadgudubyada kala duwan ee daacadnimada;
- Waafaqid waxaa lagu bixiyaa kernels Linux laga bilaabo 5.3 ilaa 5.7, iyo sidoo kale kernels lagu soo ururiyey hagaajinta GCC ee gardarrada ah, iyada oo aan la helin ikhtiyaarrada CONFIG_USB iyo CONFIG_STACKTRACE ama ikhtiyaarka CONFIG_UNWINDER_ORC, iyo sidoo kale kernels aan lahayn, haddii ay shaqeyn karaan LKRG lagu bixiyo;
- Marka la dhisayo, qaar ka mid ah goobaha CONFIG_* kernel ee qasabka ah ayaa la hubiyaa si ay u abuuraan farriimo khalad ah oo macno leh halkii ay ka ahaan lahaayeen shilal dahsoon;
- Taageero dheeri ah oo loogu talagalay heeganka (ACPI S3, ku laal RAM) iyo hurdo (S4, laalista saxanka) hababka;
- Taageerada DKMS ee lagu daray Makefile;
- Taageerada tijaabada ah ee aaladaha 32-bit ARM waa la hirgaliyay (waxaa lagu tijaabiyay Raspberry Pi 3 Model B). Taageerada AArch64 (ARM64) ee hore loo heli jiray ayaa la balaariyay si loo bixiyo waafaqsanaanta guddiga Raspberry Pi 4;
- Qaboojiyayaal cusub ayaa lagu daray, oo ay ku jiraan maamule awood u leh () wicista si uu si wanaagsan u aqoonsado ka faa'iidaysiga wax-is-beddelka "", ma aha aqoonsiga habraaca);
- Macquul cusub ayaa la soo jeediyay si loo ogaado isku dayga looga baxsanayo xannibaadaha booska magaca (tusaale, weelasha Docker);
- Nidaamyada x86-64, SMAP (Kahortagga Helitaanka Habka Kormeeraha) xoogaa waa la hubiyaa oo la dabaqaa, loogu talagalay in lagu xannibo gelitaanka xogta booska isticmaale ee koodka mudnaanta leh ee ku socda heerka kernel. Ilaalinta SMEP (Kahortagga Habka Fulinta ee Kormeeraha) ayaa horay loo hirgeliyay;
- Inta lagu jiro hawlgalka, goobaha LKRG waxaa la dhigayaa bogga xusuusta oo inta badan la akhriyo-kaliya;
- Gelida macluumaadka laga yaabo inay faa'iido u leedahay weerarrada (tusaale, macluumaadka ku saabsan ciwaannada kernelka) waxay ku xaddidan tahay qaabka cilladaha (log_level=4 iyo ka sare), kaas oo si caadi ah u naafo ah.
- Miisaanka xogta nidaamka raadraaca waa la kordhiyay - halkii hal geed oo RB ah oo lagu ilaalin lahaa hal spinlock, miis xashiish ah oo 512 geed RB ah oo ay ilaalinayaan 512 quful-qoraal ah ayaa la isticmaalaa;
- Hab ayaa la hirgeliyay oo si caadi ah loo dajiyay, kaas oo daacadnimada tilmaamayaasha habsocodka inta badan lagu hubiyo hawsha hadda socota oo keliya, iyo waliba ikhtiyaar ahaan hawlaha firfircoonida (tooska). Hawlaha kale ee ku jira xaalad hurdo ama shaqaynaysa iyada oo aan la helin kernel API ee ay maamusho LKRG, jeeggu si yar ayaa loo sameeyaa.
- Lagu daray sysctl cusub iyo cabbiro modules oo loogu talagalay hagaajinta LKRG, iyo sidoo kale laba sysctl oo loogu talagalay qaabeynta la fududeeyay iyadoo laga dooranayo jaangooyooyin hagaajin-wanaagsan (profile) ay diyaariyeen horumariyayaashu;
- Goobaha caadiga ah ayaa la bedelay si loo gaaro isku dheelitirnaan dheellitiran oo u dhexeeya xawaaraha ogaanshaha xadgudubyada iyo waxtarka jawaabta, dhinaca kale, iyo saameynta waxqabadka iyo khatarta been abuurka, dhinaca kale;
- Faylka unugga habaysan ayaa dib loo habeeyay si uu u shubo moduleka LKRG horraantii bootinta (ikhtiyaarka khadka taliska kernel ayaa loo isticmaali karaa in la joojiyo cutubka);
Iyadoo la tixgelinayo hagaajinta la soo jeediyay siideynta cusub, dhimista waxqabadka marka la isticmaalayo LKRG 0.8 waxaa lagu qiyaasaa 2.5% qaabka caadiga ah ("culus") iyo 2% habka iftiinka ("iftiin").
Dhawaan la qabtay waxtarka xirmooyinka lagu ogaanayo rootkits LKRG Natiijooyinka ugu fiican, aqoonsiga 8 ee 9 rootkit ee la tijaabiyey ee ka shaqeynaya heerka kernel iyada oo aan lahayn wax been abuur ah (rootkits Diamorphine, Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Xamaaratada, Rootfoo Linux Rootkit iyo Sutekh ayaa la aqoonsaday, laakiin Keysniffer, kaas oo ah kernel module, ayaa lagu waayay keylogger, ma aha rootkit macno ahaan). Marka la barbardhigo, xidhmooyinka AIDE, OSSEC iyo Rootkit Hunter waxay ogaadeen 2 ka mid ah 9 rootkit, halka Chkrootkit aanu midna ogaan. Isla mar ahaantaana, LKRG ma taageerto ogaanshaha rootkits ee ku yaal booska isticmaalaha, sidaa darteed waxtarka ugu weyn waxaa lagu gaaraa marka la isticmaalo isku-darka AIDE iyo LKRG, taas oo suurta gelisay in la aqoonsado 14 ka mid ah 15 rootkits dhammaan noocyada.
Intaa waxaa dheer, waxaa la ogaan karaa in horumariyaha qaybinta bilaabay baakado diyaarsan oo leh DKMS oo loogu talagalay Debian, Whonix, Qubes iyo Kicksecure, iyo xirmo loogu talagalay mar hore ayaa loo cusboonaysiiyay nooca 0.8. Xirmooyinka LKRG ayaa sidoo kale lagu heli karaa Ruush ΠΈ .
Hubinta daacadnimada ee LKRG waxaa lagu sameeyaa isbarbardhigga koodka dhabta ah iyo xogta kernel-ka iyo modules-yada, qaababka xogta muhiimka ah qaarkood iyo dejinta CPU oo leh xashiish kaydsan ama koobiyo meelaha xusuusta u dhigma, qaab-dhismeedka xogta ama diiwaannada. Jeegaga waxa lagu hawlgeliyaa wakhti wakhti iyo marka ay dhacdo dhacdooyin kala duwan.
Go'aaminta suurtagalnimada isticmaalka ka faa'iidaysiga iyo weerarada xannibaadda waxaa lagu fuliyaa marxaladda ka hor inta kernel-ku uusan bixin marin u helidda kheyraadka (tusaale, ka hor inta aan la furin faylka), laakiin ka dib marka habka la helo oggolaansho aan la ogalayn (tusaale, beddelidda UID). Marka la ogaado hab-dhaqan aan la ogalayn, hababka ayaa lagu qasbay in ay joojiyaan si default ah, taas oo ku filan in ay xannibto faa'iidooyin badan.
Source: opennet.ru