Выпуск модуля LKRG 0.2 для защиты от эксплуатации уязвимостей в ядре Linux

29.03.2018 15:14

Проект Openwall представил выпуск модуля ядра LKRG 0.2 (Linux Kernel Runtime Guard), нацеленного на выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Об особенностях LKRG можно прочитать в первом анонсе проекта.

Основные изменения:

Добавлена возможность загрузки на ранних стадиях (например, из initramfs);
Добавлен sysctl lkrg.random_events для включения выполнения проверок целостности кода при наступлении случайных событий (если установлено значение 0, то проверка выполняется через регулярные интервалы времени, заданные в sysctl lkrg.timestamp);
Снижены накладные расходы. При полном запуске в полном режиме падение производительности составляет 2.5%, а при запуске без проверки целостности по случайным событиям - 0.7%. Для сравнения, в первом выпуске накладные расходы оценивались в 6.5%;
В коде проверки целостности устранена взаимная блокировка в функции get_online_cpus(), проявляющаяся при сборке ядра с опцией CONFIG_PREEMPT_VOLUNTARY=y;
Устранено ложное срабатывание проверки целостности, возникающая при определённом стечении обстоятельств из-за механизма *_JUMP_LABEL;
Устранено ложное срабатывание определения эксплоитов в ситуации, когда ядро запускает вспомогательные исполняемые файлы в пользовательском режиме.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48351-lkrg

Ключевые слова: lkrg, kernel, firewall

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, Shodan (ok), 16:26, 29/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Не прошло и 20 лет

2.2, Аноним (-), 17:01, 29/03/2018 [^] [^^] [^^^] [ответить]

+2 +/–

> Не прошло и 20 лет

Вы имеете ввиду срок разработки ядра Linux?!?!? Так прошло же уже ;)

3.5, Shodan (ok), 18:17, 29/03/2018 [^] [^^] [^^^] [ответить]

–1 +/–

>> Не прошло и 20 лет
> Вы имеете ввиду срок разработки ядра Linux?!?!? Так прошло же уже ;)

Я имел ввиду, что подобный модуль появился только сейчас

4.7, Аноним (-), 23:50, 29/03/2018 [^] [^^] [^^^] [ответить]	+3 +/–
> Я имел ввиду, что подобный модуль появился только сейчас А че ты тормозил? Тебе кто-то не давал сделать этот модуль?

1.3, Аноним (-), 17:41, 29/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Дайте угадаю, благодаря этому модулю в ядре появится ещё одна дыра.

2.6, Michael Shigorin (ok), 21:30, 29/03/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Дайте погадаю, благодаря этому модулю в ядре появится ещё одна дыра. Вы бы вместо "позолоти ручку" взяли да пальцем в неё и ткнули-то.

2.10, solardiz (ok), 09:53, 30/03/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Наверное угадаю, что Аноним не ходил на страничку LKRG, где у нас об этом риске написано явно: "LKRG may contain bugs and some of those might even be new security vulnerabilities. You need to weigh the benefits vs. risks of using LKRG [...]"

1.4, Аноним (-), 17:58, 29/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ждём сборку ядра с денуво.

2.9, Аноним (-), 08:26, 30/03/2018 [^] [^^] [^^^] [ответить]	+/–
Тогда уж поддержку AD с авторизацией в домене microsoft.com. Глядишь и ексчендж со скайпом начнут нормально на линyпсе работать. :)

1.11, izyk (ok), 11:03, 30/03/2018 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Подскажите, пожалуйста.

> Устранено ложное срабатывание определения эксплоитов в ситуации, когда ядро
> запускает вспомогательные исполняемые файлы в пользовательском режиме.

Зачем это сейчас? Udev же.

1.12, Аноним (-), 13:09, 30/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
это Grsecurity дербанят теперь?

2.13, нах (?), 18:25, 30/03/2018 [^] [^^] [^^^] [ответить]	+1 +/–
нет, это вообще абсолютно перпендикулярная затея.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: