ProHoster > Blog > balita sa internet > Paglabas ng LKRG 0.9.2 module upang maprotektahan laban sa pagsasamantala ng mga kahinaan sa Linux kernel

Paglabas ng LKRG 0.9.2 module upang maprotektahan laban sa pagsasamantala ng mga kahinaan sa Linux kernel

Inilathala ng proyekto ng Openwall ang paglabas ng kernel module LKRG 0.9.2 (Linux Kernel Runtime Guard), na idinisenyo upang makita at harangan ang mga pag-atake at mga paglabag sa integridad ng mga istruktura ng kernel. Halimbawa, maaaring maprotektahan ng module laban sa mga hindi awtorisadong pagbabago sa tumatakbong kernel at pagtatangka na baguhin ang mga pahintulot ng mga proseso ng user (pagtukoy sa paggamit ng mga pagsasamantala). Ang module ay angkop kapwa para sa pag-oorganisa ng proteksyon laban sa mga pagsasamantala ng mga kilalang kahinaan sa kernel ng Linux (halimbawa, sa mga sitwasyon kung saan mahirap i-update ang kernel sa system), at para sa pagkontra sa mga pagsasamantala para sa hindi pa alam na mga kahinaan. Ang code ng proyekto ay ipinamamahagi sa ilalim ng lisensya ng GPLv2. Maaari mong basahin ang tungkol sa mga tampok ng pagpapatupad ng LKRG sa unang anunsyo ng proyekto.

Kabilang sa mga pagbabago sa bagong bersyon:

  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½Π° ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒ с ядрами Linux с 5.14 ΠΏΠΎ 5.16-rc, Π° Ρ‚Π°ΠΊΠΆΠ΅ с обновлСниями LTS-ядСр 5.4.118+, 4.19.191+ ΠΈ 4.14.233+.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΉ CONFIG_SECCOMP.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π° ядра Β«nolkrgΒ» для Π΄Π΅Π°ΠΊΡ‚ΠΈΠ²Π°Ρ†ΠΈΠΈ LKRG Π½Π° этапС Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ.
  • УстранСно Π»ΠΎΠΆΠ½ΠΎΠ΅ срабатываниС ΠΈΠ·-Π·Π° состояния Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ SECCOMP_FILTER_FLAG_TSYNC.
  • НалаТСна Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования настройки CONFIG_HAVE_STATIC_CALL Π² ядрах Linux 5.10+ для блокирования состояний Π³ΠΎΠ½ΠΊΠΈ ΠΏΡ€ΠΈ Π²Ρ‹Π³Ρ€ΡƒΠ·ΠΊΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ.
  • ΠžΠ±Π΅ΡΠΏΠ΅Ρ‡Π΅Π½ΠΎ сохранСниС Π² Π»ΠΎΠ³Π΅ ΠΈΠΌΡ‘Π½ ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈ использовании настройки lkrg.block_modules=1.
  • Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ sysctl-настроСк Π² Ρ„Π°ΠΉΠ»Π΅ /etc/sysctl.d/01-lkrg.conf
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½ Ρ„Π°ΠΉΠ» ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ dkms.conf для систСмы DKMS (Dynamic Kernel Module Support), ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΉ для сборки сторонних ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ послС обновлСния ядра.
  • Π£Π»ΡƒΡ‡ΡˆΠ΅Π½Π° ΠΈ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΎΡ‚Π»Π°Π΄ΠΎΡ‡Π½Ρ‹Ρ… сборок ΠΈ систСм Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ.

Pinagmulan: opennet.ru

Magdagdag ng komento