The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимостей в ядре Linux

21.07.2019 19:43

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.7 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Об особенностях LKRG можно прочитать в первом анонсе проекта.

Среди изменений в новой версии:

  • Проведён рефакторинг кода для обеспечения поддержки различных архитектур CPU. Добавлена начальная поддержка архитектуры ARM64;
  • Обеспечена совместимость с ядрами Linux 5.1 и 5.2, а также ядрами, собранными без включения при сборке ядра опций CONFIG_DYNAMIC_DEBUG, CONFIG_ACPI и CONFIG_STACKTRACE, и с ядрами, собранными с опцией CONFIG_STATIC_USERMODEHELPER. Добавлена экспериментальная поддержка ядер от проекта grsecurity;
  • Значительно изменена логика инициализации;
  • В подсистеме проверки целостности повторно включено самохэширование (self-hashing) и устранено состояние гонки в движке меток перехода (*_JUMP_LABEL), приводящее к взаимной блокировке при инициализации одновременно с событиями загрузки или выгрузки других модулей;
  • В коде определения применения эксплоитов добавлены новые sysctl lkrg.smep_panic (по умолчанию включен) и lkrg.umh_lock (по умолчанию выключен), добавлены дополнительные проверки бита SMEP/WP, изменена логика отслеживания новых задач в системе, переработана внутренняя логика синхронизации с ресурсами задач, добавлена поддержка OverlayFS, помещён в белый список Ubuntu Apport.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск модуля LKRG 0.6 для защиты от эксплуатации уязвимостей в ядре Linux
  3. OpenNews: Выпуск модуля LKRG 0.4 для защиты от эксплуатации уязвимостей в ядре Linux
  4. OpenNews: Выпуск модуля LKRG 0.2 для защиты от эксплуатации уязвимостей в ядре Linux
  5. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
  6. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
Лицензия: CC-BY
Тип: Программы
Ключевые слова: lkrg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (16) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:49, 21/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Теперь эксплуатировать уязвимости стало сложнее.
     
  • 1.2, n1rdeks (ok), 19:56, 21/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как оно бьёт по производительности?
     
     
  • 2.5, Аноним (5), 20:31, 21/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    метко. А вообще на сайте до сих пор написано, что они сильно не тестировали, но вроде как обещают до 2.5%. Хотя все зависит от режима.
     
  • 2.15, solardiz (ok), 14:16, 22/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Подробный ответ на тот же вопрос в обсуждении LKRG 0.6: https://www.opennet.ru/openforum/vsluhforumID3/116625.html#3
     

  • 1.6, Аноне (?), 20:35, 21/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В свете недавних новостей нужно всё.
     
  • 1.7, Павел Отредиез (?), 20:35, 21/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Так-то может и нужно. Только голова не болит у разработчиков? У меня один только вопрос к различным hardened доработкам - сколько это стоит головной боли?
     
     
  • 2.9, VINRARUS (ok), 21:02, 21/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >сколько это стоит головной боли

    Гдето между ударом кастрюлей и сковородкой.

     

  • 1.8, Аноним (8), 20:58, 21/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Добавлена начальная поддержка архитектуры ARM64

    Когда armv7?

    Проблемы с ACPI S3 пофиксили?

     
     
  • 2.14, solardiz (ok), 14:14, 22/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда armv7?

    Когда/если на LKRG на 32-битном ARM будет спрос. Пока мы спроса не видим. Cчитать ли за таковой вопрос здесь, не знаю.

    > Проблемы с ACPI S3 пофиксили?

    Нет. Я сейчас напомнил об этой задаче Адаму - надо или разобраться и добавить workaround, или/и добавить возможность отключения части проверок.

     
     
  • 3.17, Аноним (8), 21:42, 22/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Пока мы спроса не видим.

    Платёжеспособный спрос вряд-ли будет - 32-битные армы вытеснены в новых телефонах 64-битными, не удивлюсь, если гугл их скоро официально дропнет. Просто интересовала возможность прикрутить LKRG к lineageos для старых телефонов как один из вариантов смягчения уязвимостей в блобах.

     
     
  • 4.18, solardiz (ok), 21:49, 22/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Необязательно платёжеспособный, так как добавить поддержку не сложно. Спасибо за пояснение.
     

  • 1.10, kido5217 (?), 21:15, 21/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто-нибудь смог это с dkms подружить?
     
     
  • 2.20, Michael Shigorin (ok), 16:54, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У нас просто собрали в репозиторий: http://git.altlinux.org/tasks/archive/done/_230/236114/logs/events.8.2.log (а компилятор на не-сборочном сервере незачем, как мне кажется).
     

  • 1.13, Аноним (13), 11:18, 22/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как только не извернутся лишь бы grsecurity не покупать.
     
     
  • 2.16, хз.кто (?), 17:07, 22/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А почём их патчи сейчас?
     

  • 1.19, andy (??), 18:59, 29/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    в чем проблема заюзать lts ядро, где обычно ничего не ломается?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру