Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск модуля LKRG 0.9.4 для защиты от эксплуатации уязвимостей в ядре Linux"	+/–
Сообщение от opennews (??), 24-Июл-22, 16:22
Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.4 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57544
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 24-Июл-22, 16:35	–8 +/–
Существует ли модуль для эксплуатации уязвимостей? Больше уязвимостей хороших и разных. Лучше конечно когда в пропритетарных поделках типа фряхи, но линуксовые тоже нужное дело.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

4. Сообщение от Попандопала (?), 24-Июл-22, 17:18	+4 +/–
Сделали бы уж сразу полноценный internet security или total protection,а то всё стесняются. D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8

5. Сообщение от Аноним (5), 24-Июл-22, 17:45	+3 +/–
Runtime Guard тоже звучит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Dzen Python (ok), 24-Июл-22, 18:42	+8 +/–
Слишком мокрописечно звучит. Словно возврат в 2006й, где на варезниках очень любили такой громкий софт и рисовать им коробочки. Сейчас в тренде другое. Ждем: - Rust(tm) Memory Safety Kernel (RMSk). Проверяет всех боровов в рантайме, ядро работает на 90% медленнее, против несогласных уже собрана айнзац-команда из кортим. - Русская Блокада для Linux. Сертифицировано ФСТЭК, одобрено ФСБ и лично Темнейшим, доступно только нескольких странах. - Kaspersky eBPF Module. Блокирует все и всех, кроме выделенной уязвимости для ФСБ. Во время подключения тов.майора вешает сисему намертво, по окончании сеанса показывает рекомендации тов.майора всем юзерам. - Total CVE Awareness. Аналогично модулю выше, но только для ЦРУ и АНБ. Но с функцией автоматической перлюстрации всех входящих файлов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9

9. Сообщение от AKTEON (?), 24-Июл-22, 20:23	+3 +/–
А где Золотой Щит Совершенномудрого Правителя ?? Эклетично совмещающий функции двух последних с автоматическим выписыванием штрафов через wechat ??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #19

10. Сообщение от Аноним (10), 24-Июл-22, 22:11	–4 +/–
И зачем тут OpenRC? Я люблю SystemD, и хочу, чтобы только он у меня и был! // b.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

11. Сообщение от pavlinux (ok), 24-Июл-22, 22:36	+1 +/–
>  от эксплоитов уже известных уязвимостей ядра Linux > (например, в ситуациях когда в системе проблематично обновить ядро), ... > Модуль ядра переименован из p_lkrg в lkrg. Ядро проблематично обновить, а модуль собрать и грузануть непроблематично?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #14, #15

12. Сообщение от Аноним (12), 24-Июл-22, 23:11	+/–
>так и для противостояния эксплоитам для ещё неизвестных уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

14. Сообщение от mener (?), 25-Июл-22, 07:21	–1 +/–
А если в новой версии ядра вместе с исправлениями поломали что-то важное?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16, #27

15. Сообщение от Аноним (15), 25-Июл-22, 07:27	+/–
Перезагружать нужно, а сервер может не запуститься А тут перезагружать не нужно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #21

16. Сообщение от Аноним (12), 25-Июл-22, 08:30	+2 +/–
проблемы индейцнв шерифа не волнуют. Твоя видеокарта обязаны быть такой же, как у Линуса лично. Иначе на сломанный видеодрайвер будет всем пофиг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #17

17. Сообщение от Аноним (12), 25-Июл-22, 08:31	+1 +/–
Впрочем на винде на сломанный видеодрайвер и так всем пофиг. Сломался - иди поддерживаемую карту покупай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #18

18. Сообщение от пох. (?), 25-Июл-22, 08:52	+/–
Ну свой цирозложик 94го года выпуска уже по любому можешь выбросить и з@к0пать где-нибудь на свалке особо опасных отходов. Мои вот нвидии нулевых годов - работают, ничего в них не "ломается". Разумеется, это не потому что stable api nonsense - в какой-то другой системе. И D2700 тоже работает, а не "intel никогда не выпускала такой драйвер"(c)индусская харя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

19. Сообщение от Бывалый смузихлёб (?), 25-Июл-22, 09:32	+/–
А поддерживается функция автоотправки повесток сразу_в_тюрьму( ведь система уже решила что виноват, какие-то доводы адвокатов уже бессмысленны ) через вичат с отметкой о получении и прочтении, юридически полностью аналогичных бумажным ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #24

20. Сообщение от pavlinux (ok), 25-Июл-22, 10:39	+/–
/dev/vanga ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #26

21. Сообщение от pavlinux (ok), 25-Июл-22, 10:40	+1 +/–
Ну так се эксперименты... на боевом серваке-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от pavlinux (ok), 25-Июл-22, 10:51	+1 +/–
> Существует ли модуль для эксплуатации уязвимостей? eBPF и путаны с вокзала будут завидовать ваше проходимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #23

23. Сообщение от Аноним (3), 25-Июл-22, 11:16	+/–
Это не то, как он поможет сканировать ядро? Интерес имея права найти уязвимости для системы где прав нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28, #39

24. Сообщение от anonymous (??), 25-Июл-22, 12:24	+/–
Нет. Пока реализована только функция отмены тебя и всего что ты сделал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

25. Сообщение от Аноним (-), 25-Июл-22, 13:41	+/–
Самое время прикрутить управление автоматическими туррелями. Функция отмены и экономия бумаги для повесток. Удобно и эффективно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от Аноним (-), 25-Июл-22, 13:44	+3 +/–
Не совсем. Оно пытается обнаруживать и парировать попытки эксплойтирования ядра. Конечно, лучше если у тебя лодка без пробоины. Но если вдруг так получилось, плошка для вычерпывания воды или даже автоматическая помпа окажутся очень кстати по сравнению с перспективой уйти на дно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от Аноним (-), 25-Июл-22, 13:45	+/–
> А если в новой версии ядра вместе с исправлениями поломали что-то важное? Тогда баг напиши. Или хренли предлагается, некромансить с ископаемыми ядрами, остановив время? Хреновое решение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #33

28. Сообщение от Аноним (-), 25-Июл-22, 13:53	+/–
Syzkaller тебе в руки. Правда Syzbot тоже им пользоваться умеет,  да еще репортит баги и бисектит до проблемного комита. Но это не значит что его нельзя обштопать в каком-то закоулке. Еще можно обратить внимание на namespaces. Идея хорошая, но т.к. кишки ядра никогда для этого не создавались, усы иногда отклеиваются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от Аноним (-), 25-Июл-22, 13:58	+/–
Ага, именно поэтому маздай на карту менее чем DX10 не ставится. А линуху похрен, он и семейство радеонов типа R300 жрет, и прочие GF2 MX если кого на некромансию потянуло. Ютуб смотреть с FPS в цать раз быстрее VESA все же хватит. А в винде оно "стандартный VGA адаптер" с этим их stable api blah-doh. Собственно было аргументом для всяких сельских морд за линух. Можно решить трабл совершенно бесплатно и без беготни а от компа им ничего кроме браузинга, чатиков и немного ютуба и не надо. Ща блин нищие сельские училы под это геймерские видяхи пойдут покупать, аж два раза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #32

30. Сообщение от Составление сообщения (?), 25-Июл-22, 17:04	+/–
>LKRG packages exist in ALT Linux, Arch Linux, Astra Linux, Gentoo, Whonix, and Yocto (and thus also OpenBMC). Whonix's packaging is also usable for Debian and its other derived distributions (including Ubuntu). Прямо список хороших, годных дистрибутивов получился. Вопросы Солару - почему в списке нет Openwall? и в чём сходства и различия от PAC?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

31. Сообщение от Michael Shigorin R7 (?), 25-Июл-22, 17:36	+4 +/–
...золотая рыбка удивилась такому желанию, но все же выполнила...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

32. Сообщение от пох. (?), 25-Июл-22, 18:46	+/–
> Ага, именно поэтому маздай на карту менее чем DX10 не ставится. Ну так может проблема именно в DX? Потому что вон жужжит вентилятором адская нвидевая е6-нина чья молодость совпала, наверное,  с рождением XP SP2. Т.е. эта древность поддерживалась лет пятнадцать, куда уже больше? Она бы померла бы давно, если бы использовалась. > Собственно было аргументом для всяких сельских морд за линух. Можно решить трабл совершенно > бесплатно и без беготни пока не напарываешься на D2700, и у тебя "стандартный VGA адаптер, только еще и с глюками в виде мертвого повисания". А на вендепоганой - гляди-ка, аппаратный декодинг того ютрупа. Ну да, десятка уже вроде не поддерживает, но опять же это плата 12го года, причем низкопотребляющая т.е. маломощная уже по тогдашним меркам, только-только на такие задачи ее уже тогда хватало, когда она была новой. > Ща блин нищие сельские училы под это геймерские видяхи пойдут покупать, аж два раза. Китайские ноуты они пойдут покупать. https://aliexpress.ru/item/1005004550219379.html Вполне работающая херня, между прочим. Венду кетайскую только не советую пытаться переставлять - драйверов не найдешь. И такого гуана - полный холодильник (вот с теми, где можно "просто плевать в экран" сложнее стало). Ну кому надо при этом тратить время и силы на твою доисторическую видимокарту, непохожую ни на что другое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34

33. Сообщение от пох. (?), 25-Июл-22, 18:48	+/–
>> А если в новой версии ядра вместе с исправлениями поломали что-то важное? > Тогда баг напиши. Или хренли предлагается, некромансить с ископаемыми ядрами, остановив > время? Хреновое решение. stable nonsense, угу, очень хорошее решение. Поэтому 3% дрисктопов да и те на проверку дуалбутные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #35

34. Сообщение от Аноним (-), 25-Июл-22, 21:44	+/–
> Ну так может проблема именно в DX? Проблема в том что дров под новые винды для этих видях ну вот тупо нет. В системных требованиях винды 7 тупо написали DX10+ видеокарта. Если у вас не оно - значит это будет "стандартный VGA адаптер". Майки в районе модель видеодров сменили - заодно, вот, и поддержку старого железа крупным оптом задропали. А линух что, заводит эти древности с полоборота и уж как минимум отрисовка 2D в "нативном" режиме видяхи таки работает сильно быстрее чем через уродства типа VESA. Разиков так в 10 быстрее. VESA вообще фулскрин видео на 1280х1024 в винде рисует как тупо слайдшоу. А в линухе в нативном режиме видях спокойно прорисовывает с FPS монитора. Почувствуйте разницу. > Потому что вон жужжит вентилятором адская нвидевая е6-нина чья молодость совпала, > наверное,  с рождением XP SP2. Т.е. эта древность поддерживалась лет пятнадцать, > куда уже больше? Она бы померла бы давно, если бы использовалась. А я таки знавал несколько сельских некромансеров с радиками и нвидиями типа вон того. Они и полюбили пингвина, ибо икспа это круто но под нее софт фиг найдешь, виста никуда не годится, семерка - ну, там "стандартный VGA адаптер" и целые полтора кадра в секунду на фулскрине с него, соответственно. А линуху вот похрен, до сих пор распоследний дебиан заводит такой антик. Ах да! Там еще ffmpeg и vlc из репок ставятся. Даже на ископаемые без SSE2. И это все потом даже еще и работает, прикинь?! А теперь попробуй вообще такой номер под твоим stable api nonsense провернуть, узнаешь в чем прикол. Да, ты правильно понял: софт обычно или дохнет с illegal instruction (тот самый SSE2) или еще какая лабуда - и вообще задолбаешься софт подбирать. Даже типа-32-битный, блабла. А самому vlc или ffmpeg под маздай собирать все ж отчаянный мазохизм. В линуксе то поставил галочек на либы пакетнику и порядок, а в винде... ага... В линухе это как-то осмысленнее: x86-32 считается вотчиной легаси и совместимости, а продвинутости на 64 битах. Это логично и никого не нагибает. А виндовые кодеры - ну, это виндовые кодеры, они бессмысленные и беспощадные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (-), 25-Июл-22, 21:51	+/–
> stable nonsense, угу, очень хорошее решение. Worksforme. Во всяком случае, если что-то идет не так - очень круто когда под боком есть именно линуксный кернел тим а не толпа раджей из первой линии саппорта, предлагающих почистить мышку по стандартной инструкции для даунов. > Поэтому 3% дрисктопов да и те на проверку дуалбутные. Negative on that. У меня вообще виндов нет вокруг. Это даже проблема до некоторой степени, ибо я вывесил весьма забавную, скажем так, абстракцию, линух ее хавает, а вот схавает ли и винда я даже и не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от onanim (?), 26-Июл-22, 09:01	+/–
>  Модуль ядра переименован из p_lkrg в lkrg. "stable api nonsense" as is :D
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от solardiz (ok), 26-Июл-22, 18:58	+/–
LKRG не включен в Openwall GNU/*/Linux (Owl) хотя бы потому что на момент выпуска LKRG в 2018 году (а тем более сейчас) проект Owl уже был фактически заморожен. Технически же, LKRG поддерживает ветки ядер начиная с имеющихся в RHEL7, тогда как в Owl использовалась ветка на основе RHEL5. Что такое PAC не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

38. Сообщение от Аноним (38), 27-Июл-22, 12:04	+/–
а зачем вы делаете уязвимости в ядре Linux?
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от pavlinux (ok), 29-Июл-22, 21:16	+/–
Какие бл уязвимости, ebpf - это скриптовый ассемблер внутри ядра. Чо нужно то и пихай. Если осилишь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #40

40. Сообщение от Аноним (3), 29-Июл-22, 21:26	+/–
Вот и я не понял, каким местом ты думал, когда полез в разговор со своим bpf. Я конечно знаю только как bpftrace использовать, но вряд ли он тут поможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Составление сообщения (?), 31-Июл-22, 09:47	+/–
Понятно, спасибо. >Что такое PAC не знаю. PaX который, я опечатался. https://en.wikipedia.org/wiki/Executable_space_protection#PaX
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема