Openwall 项目发布了内核模块 LKRG 0.9.2(Linux Kernel Runtime Guard),旨在检测和阻止攻击以及违反内核结构完整性的行为。 例如,该模块可以防止对正在运行的内核进行未经授权的更改,并尝试更改用户进程的权限(检测漏洞的使用)。 该模块既适合组织针对已知 Linux 内核漏洞的利用的保护(例如,在系统中难以更新内核的情况下),也适合针对未知漏洞的利用。 项目代码根据 GPLv2 许可证分发。 您可以在项目的第一份公告中了解LKRG的实施特点。
新版本的变化包括:
- 兼容 Linux 内核 5.14 至 5.16-rc,以及 LTS 内核 5.4.118+、4.19.191+ 和 4.14.233+ 的更新。
- 添加了对各种 CONFIG_SECCOMP 配置的支持。
- 添加了对“nolkrg”内核参数的支持,以在启动时停用 LKRG。
- 修复了处理 SECCOMP_FILTER_FLAG_TSYNC 时由于竞争条件导致的误报。
- 改进了在 Linux 内核 5.10+ 中使用 CONFIG_HAVE_STATIC_CALL 设置来阻止卸载其他模块时的竞争条件的能力。
- 使用 lkrg.block_modules=1 设置时阻止的模块名称保存在日志中。
- 在文件 /etc/sysctl.d/01-lkrg.conf 中实现了 sysctl 设置的放置
- 为 DKMS(动态内核模块支持)系统添加了 dkms.conf 配置文件,用于在内核更新后构建第三方模块。
- 改进和更新了对开发构建和持续集成系统的支持。
来源: opennet.ru