Açık Duvar Projesi çekirdek modülü sürümü (Linux Kernel Runtime Guard), çalışan çekirdeğe yapılan yetkisiz değişikliklerin tespit edilmesini (bütünlük kontrolü) veya kullanıcı işlemlerinin izinlerini değiştirme girişimlerini (istismarların kullanımını tespit etme) sağlar. Modül, hem Linux çekirdeği için halihazırda bilinen istismarlara karşı korumayı düzenlemek (örneğin, sistemdeki çekirdeği güncellemenin zor olduğu durumlarda) hem de henüz bilinmeyen güvenlik açıklarına yönelik istismarlara karşı koymak için uygundur. LKRG'nin özelliklerini şurada okuyabilirsiniz: .
Yeni sürümdeki değişiklikler arasında:
- Kod, çeşitli CPU mimarilerine destek sağlayacak şekilde yeniden düzenlendi. ARM64 mimarisi için başlangıç desteği eklendi;
- Linux çekirdekleri 5.1 ve 5.2 ile çekirdek oluşturulurken CONFIG_DYNAMIC_DEBUG seçenekleri dahil edilmeden oluşturulan çekirdeklerle uyumluluk sağlanır,
CONFIG_ACPI ve CONFIG_STACKTRACE ve CONFIG_STATIC_USERMODEHELPER seçeneğiyle oluşturulmuş çekirdeklerle. grsecurity projesinden çekirdekler için deneysel destek eklendi; - Başlatma mantığı önemli ölçüde değiştirildi;
- Bütünlük denetleyicisi, kendi kendine karma oluşturmayı yeniden etkinleştirdi ve Jump Label motorunda (*_JUMP_LABEL), diğer modüllerin yükleme veya boşaltma olayları ile aynı anda başlatıldığında kilitlenmeye neden olan bir yarış durumunu düzeltti;
- Açıklardan yararlanma tespit koduna yeni sysctl lkrg.smep_panic (varsayılan olarak açık) ve lkrg.umh_lock (varsayılan olarak kapalı) eklendi, SMEP/WP biti için ek kontroller eklendi, sistemdeki yeni görevleri izleme mantığı eklendi değiştirildi, görev kaynaklarıyla senkronizasyonun dahili mantığı yeniden tasarlandı, OverlayFS desteği eklendi ve Ubuntu Apport beyaz listesine yerleştirildi.
Kaynak: opennet.ru