The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск модуля LKRG 0.9.2 для защиты от эксплуатации уязвимостей в ядре Linux

29.12.2021 13:15

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.2 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта.

Среди изменений в новой версии:

  • Обеспечена совместимость с ядрами Linux с 5.14 по 5.16-rc, а также с обновлениями LTS-ядер 5.4.118+, 4.19.191+ и 4.14.233+.
  • Добавлена поддержка различных конфигураций CONFIG_SECCOMP.
  • Добавлена поддержка параметра ядра "nolkrg" для деактивации LKRG на этапе загрузки.
  • Устранено ложное срабатывание из-за состояния гонки при обработке SECCOMP_FILTER_FLAG_TSYNC.
  • Исправлена поддержка настройки CONFIG_HAVE_STATIC_CALL в ядрах Linux 5.10+ (устранены состояния гонки при выгрузке других модулей).
  • Обеспечено сохранение в логе имён модулей, заблокированных при использовании настройки lkrg.block_modules=1.
  • Реализовано размещение sysctl-настроек в файле /etc/sysctl.d/01-lkrg.conf
  • Добавлен файл конфигурации dkms.conf для системы DKMS (Dynamic Kernel Module Support), используемой для сборки сторонних модулей после обновления ядра.
  • Улучшена и обновлена поддержка отладочных сборок и систем непрерывной интеграции.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск модуля LKRG 0.9.0 для защиты от эксплуатации уязвимостей в ядре Linux
  3. OpenNews: В ядро Linux 5.4 приняты патчи для ограничения доступа root к внутренностям ядра
  4. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
  5. OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
  6. OpenNews: Проект grsecurity опубликовал реализацию механизма защиты RAP для ядра Linux
Лицензия: CC-BY
Короткая ссылка: https://opennet.ru/56430-lkrg
Ключевые слова: lkrg, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (96) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:23, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    есть ли защита такого уровня для BSD?
     
     
  • 2.6, Аноним (-), 14:26, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –12 +/
    С разморозкой man securelevel code The kernel runs with five different securi... большой текст свёрнут, показать
     
     
  • 3.7, Аноним (1), 14:30, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Скопируй следующую страницу мана плиз.
     
     
  • 4.8, Аноним (-), 14:39, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –8 +/
    - Хорошо The INVARIANT_SUPPORT option makes us compile in support for ver... большой текст свёрнут, показать
     
     
  • 5.10, Аноним (10), 14:42, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А можно еще пару страниц, пожалуйста?
     
     
  • 6.12, Аноним (-), 14:57, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А можно еще пару страниц, пожалуйста?

    Твоих глупостей и прочего подгорания? Ну ладно, так и быть, разрешаю!

     
     
  • 7.14, Аноним (-), 15:21, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Троллей не кормить! Игнорируй.
     
     
  • 8.20, Аноним (-), 17:08, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ух ты, тролли оказывается манами питаются ... текст свёрнут, показать
     
     
  • 9.21, Аноним (21), 17:15, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Интересный у вас диалог с самим собой ... текст свёрнут, показать
     
     
  • 10.35, Аноним (-), 18:09, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Анонимусов на опеннете чуть более одного Странно что ты этого еще не заметил, а... текст свёрнут, показать
     
     
  • 11.39, Урри (ok), 19:34, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только они пронумерованы Внезапно, да ... текст свёрнут, показать
     
     
  • 12.40, Аноним (40), 19:45, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http wiki opennet ru ForumHelp D0 98 D0 BA D0 BE D0 BD D0 BA D0 B8_ D1 80 D1 ... текст свёрнут, показать
     
  • 12.42, Аноним (-), 21:09, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хаха, во ты кадр Вообще, движок не нумерует анонимов Но если активно постить с... текст свёрнут, показать
     
  • 6.13, Аноним (-), 15:21, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нельзя. Толлинг допускается только один раз. Ты же по второму кругу идёшь.
     
     
  • 7.19, Аноним (21), 17:06, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Толлинг

    Это что-то типа лизинга?

     
     
  • 8.41, Аноним (41), 19:49, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, взымание платы за платную дорогу ... текст свёрнут, показать
     
  • 2.11, Крок (?), 14:54, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Именно такого нет, есть MAC фреймворк с модулями разными, они могут дополнительно всякое разноетпроверять.
     
     
  • 3.16, Аноним (1), 16:12, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну я так понял BSD-альтернативы для LKRG нет.

    > MAC фреймворк с модулями разными

    Ну так он в линуксе и до этого был. И не один.

     
     
  • 4.17, Аноним (21), 17:01, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  Ну я так понял BSD-альтернативы для LKRG нет.

    Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.
    И говорящий сам с собой копипастер.

     
     
  • 5.23, Аноним (1), 17:22, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    чем длиннее пасты, тем солиднее коммент. Можно еще для убедительности разбавить ссылками. Пофиг, что не по теме -- главное щоб були ссилкi.
     
     
  • 6.27, Аноним (21), 17:27, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да я этого поехавшего помню ещё по фееричному доказательству, что "freebas НЕ переходила на zfsonlinux" ссылками на... новости о том, что freebsd переходит на zfsonlinux.
     
  • 5.26, Аноним (26), 17:26, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>  Ну я так понял BSD-альтернативы для LKRG нет.
    > Но зато есть man-страницы, которые можно скопипастить, а это уже что-то.

    Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...
    > И говорящий сам с собой копипастер.

    И очередной подгоревший недо-вбросчик метана, с сумбурными фантазиями.


     
     
  • 6.37, Аноним (-), 18:56, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ну да, глупые бздуны забыли что чтение мана - это не к лапчатым ...

    Модно-молодежные выбирают ютуб же - просмотр полуторачасового видосика экономит 10 минут старперского чтения мана!

     
  • 6.43, Аноним (-), 21:15, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и такие заявы выдавать? А вы красавчики, лол. Благодаря таким типам и складывается вмечатление что бсд пользуются только совсем ушибленые придурки.
     
     
  • 7.44, Аноним (-), 21:31, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Наспамить бсдшными манами в теме про линуксный модуль, а потом еще и
    > такие заявы выдавать?

    Наспамить в теме про линуксовый модуль "В BSD нету LKRG! Воть!", спалиться анонимным номерком, нарваться на ответку, перейти на ad hominem и еще повозмущаться "а чей-то вы миня абижаите!" - красава!

    > А вы красавчики, лол. Благодаря таким типам и
    > складывается вмечатление что бсд пользуются только совсем ушибленые придурки.

    Зато благодаря вам, "нетакимкакфсе", давно уже сложилось впечатление, что линухом пользуются только  истеричные тик-токеры-школота, постоянно ищущая, за счет чего бы самоутвердиться ...

     
     
  • 8.76, Аноним (-), 17:17, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Во ты нарк Там реально несколько разных анонимов Факин лол ... текст свёрнут, показать
     
     
  • 9.83, Аноним (-), 18:10, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эксперд294, попробуй читать глазами, а не опой - - А номерок анонима привязан ли... большой текст свёрнут, показать
     
     
  • 10.86, Аноним (-), 18:38, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чисто поржать, я где-то в середине втерся, подстебать чудика бросающегося на i ... большой текст свёрнут, показать
     
     
  • 11.91, Аноним (91), 19:34, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я уже говорил - попробуй начать читать глазами Это прямо из формы ответа, если ... большой текст свёрнут, показать
     
     
  • 12.96, Аноним (-), 10:15, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эвона как, можно быть анонимом Шредингера, одновременно с номером и без С ним н... большой текст свёрнут, показать
     
  • 4.22, Аноним (-), 17:19, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> MAC фреймворк с модулями разными
    > Ну так он в линуксе и до этого был. И не один.

    Т.е. не проблема показать вариант mac_portacl (которому почти 20 лет и который все еще поддерживается)
    > # sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995
    > Permit the user with the UID of 1001 to bind to the TCP ports 110 (“pop3”) and 995 (“pop3s”).
    > This will permit this user to start a server that accepts connections on ports 110 and 995.

    .

     
     
  • 5.24, Аноним (1), 17:24, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    уже было в линуксе до всяких LKRG. А вот где аналог LKRG в BSD?
     
     
  • 6.29, Аноним (26), 17:31, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > уже было в линуксе до всяких LKRG.

    Пруфы будут? Или как обычно?


     
     
  • 7.69, Moomintroll (ok), 10:22, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> уже было в линуксе до всяких LKRG.
    > Пруфы будут? Или как обычно?

    SELinux же!

    А ещё есть capabilities.

     
  • 5.25, Аноним (21), 17:25, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ... большой текст свёрнут, показать
     
     
  • 6.28, Аноним (26), 17:29, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Permit the user with the UID of 1001 to bind to the TCP ports 110
    >>       setuid()  sets the effective user ID of the calling process.  If the calling process is privileged (more precisely: if the process has the CAP_SETUID capability

    Умел бы читать - понял бы, что это совершенно не то.
    Но увы, ты похоже даже скопипастить нормально не можешь, куда уж тебе до системных азов.

     
     
  • 7.30, Аноним (21), 17:33, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Умел бы читать - понял бы, что это совершенно не то.

    Вот уже 20 лет демоны биндятся на нужный им порт, а потом сбрасывают привилегии.
    Но это, конечно же, совсем не то.

    Лучше расскажите нам, как все 65535 портов между UID-ами распределяете (а то граница в 1024 уже много лет не имеет особого физического смысла).

     
     
  • 8.32, Аноним (32), 17:45, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот уже 20 лет с mac_portctl не нужен запуск с излишними привелегиями, а затем и... текст свёрнут, показать
     
  • 8.34, Аноним (-), 18:07, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в линухе им можно вообще дать cap на это дело и больше никаких привилегий Так... текст свёрнут, показать
     
  • 4.62, Ivan_83 (ok), 02:00, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, прямой альтернативы нет, в том виде как это устроено работает Но в MAC есть... большой текст свёрнут, показать
     
     
  • 5.66, Аноним (66), 07:41, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > К сожалению у фреймворков есть одна проблема: нужно время и мозги на их освоение, а хреновину из линуха можно включить не приходя в сознание.

    То есть ты намекаешь на то, что этот бздешный фреймворк настолько крив и недокументирован, что на него уйдёт уйма времени? Я о бздах был лучшего мнения если честно.
    > а хреновину из линуха можно включить не приходя в сознание. Не вижу здесь ничего плохого. Я всегда ценил удобство, например. А приходить в сознание уже можно на более сложных вещах.

     
     
  • 6.67, Ivan_83 (ok), 08:03, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это так же как с BPF который в линукс утащили: мало просто загрузить модуль, надо бы ещё какую то программу/конфиг туда залить чтобы оно начало работать.
     
  • 5.84, Аноним (-), 18:14, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы там что, в системном программировании вообще ни в зуб ногой С любезно закину... большой текст свёрнут, показать
     
     
  • 6.88, Аноним (-), 19:16, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вас, зубоногих уже вроде бы ткнули kern kern_malloc c code ifdef INVARIANTS ... большой текст свёрнут, показать
     
  • 4.63, Ivan_83 (ok), 02:06, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаток линукса, знаю только selinux, который тоже всё метками метить умеет и какие то правила применять к ним.
    Насколько оно аналог MAC мне судить трудно, потому что я и с MAC очень мало работал, а селинукс можно сказать что только видел пока в андройдах копаюсь.
     

  • 1.2, Корец (?), 13:42, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ждём через некоторое время новости про cve в сабже.
     
     
  • 2.47, Michael Shigorin (ok), 22:54, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Посмотрите уже, кто пишет и чем известны.
     
     
  • 3.54, Аноним (-), 00:36, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Давите оппонента мнимым авторитетом (да ещё и чужим)? Дальше вам падать уже некуда.
    По поводу сабжа: есть мнение, что если в ядре присутствует говнокод, то его нужно переписывать, а не городить по верх него охренелярд модулей безопасности.
     
     
  • 4.59, Аноним (-), 00:55, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > По поводу сабжа: есть мнение, что если в ядре присутствует говнокод, то
    > его нужно переписывать, а не городить по верх него охренелярд модулей
    > безопасности.

    Есть мнение, что с этим - как в том анекдоте про слона "съесть то может и съест, да кто же ему даст!"
    Платиновые спонсоры свой код переписывать не будут - оно ведь и так работает, выкинуть нельзя - денег в фундейшн заносить перестанут, Линусу на новый мак не хватит!
    А энтузистам пролопатить ту гору корпоративного кода и при переписывании не сломать нигде совместимость с ним ... потянет на тринадцатый подвиг Геракла.

     
     
  • 5.68, Аноним (68), 09:15, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >тринадцатый подвиг Геракла

    Самый лёгкий и самый приятный из его подвигов.

     
  • 4.72, Michael Shigorin (ok), 14:56, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Намекаем коллеге, что матчасть полезно хотя бы самую чуточку глянуть сперва.
     
  • 2.58, Аноним (58), 00:43, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Наркоман чтоли? Это Openwall Project, автор solar designer.
    Они многие cve и находят, и мейлинг лист у них по уязвимостям ядра.
     
     
  • 3.73, Аноним (-), 15:59, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А прикинь, раз и на старуху как говорится.
     
  • 2.94, solardiz (ok), 06:11, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Один вариант моего ответа на подобную дежурную иронию см в дискуссии о LKRG 0 8... большой текст свёрнут, показать
     

  • 1.3, Аноним (3), 13:42, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда из коробки? Достало уже вручную обновлять.
     
     
  • 2.9, Аноним (10), 14:41, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Добавлен файл конфигурации dkms.conf для системы DKMS (Dynamic Kernel Module Support), используемой для сборки сторонних модулей после обновления ядра.

    Будем обновляться само, если только API не поменяют.

     
     
  • 3.38, Аноним (3), 19:31, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не будет, нужно ведь ещё из гита выкачивать и собирать. Вообще хорошо бы бинарный пакет.
     
  • 2.15, Аноним (-), 15:23, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Если достало, не ной, иди-ка ты лучше в OS Windows.
     
     
  • 3.18, Аноним (21), 17:02, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Или в ОС BSD. Там нет LKRG, но есть man-страницы!
     
     
  • 4.31, Аноним (31), 17:40, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Или в ОС BSD. Там нет LKRG, но есть man-страницы!

    Ты эта, глубоко вздохни, приложи лёд и успокойся - то, что в _BSD_ нет _Linux_ Kernel Runtime Guard, как бы, закономерно.

     
     
  • 5.49, Michael Shigorin (ok), 22:57, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Не знаю, User294 это забегал или кто другой -- но на такую резвость не могу себе отказать в напоминании того, чё там во фряке нынче с наскрозь самостийным графическим стеком.
     
     
  • 6.60, Аноним (-), 00:58, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю, User294 это забегал или кто другой -- но на такую
    > резвость не могу себе отказать в напоминании того, чё там во фряке нынче с наскрозь самостийным графическим стеком.

    Че там с вашими фантазиями - не знаю, а за самостийным графическим стеком к опенку с его ксенокарой.


     
     
  • 7.65, а (?), 06:58, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    xenocara - это ж всего лишь система сборки стандартного xorg, чтобы юзеру не думать про взаимозависимости всех его 100500 модулей.
     
     
  • 8.71, Аноним (-), 13:49, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну хз, что имелось в виду - я не Ванга В той же фре никто не объявлял о самос... текст свёрнут, показать
     
     
  • 9.82, Аноним (-), 18:01, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Изначально кроссплатформенные иксы изначально делали совершено адское ушлепанств... текст свёрнут, показать
     
     
  • 10.85, Аноним (-), 18:16, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, а вот стоило прибить их к evdev libinput - сразу ух как зажили ... текст свёрнут, показать
     
     
  • 11.87, Аноним (-), 18:48, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это какая-то ваша персональная травма На фоне тех архитектурных изменений котор... текст свёрнут, показать
     
     
  • 12.89, Аноним (-), 19:20, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, зато многократный спрыг с темы, растекание мысью по древу и приписывани... текст свёрнут, показать
     
     
  • 13.105, Аноним (-), 14:13, 01/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я просто думал что переход на DRM KMS и сопутствующее изменение всех системных п... текст свёрнут, показать
     
  • 2.48, Michael Shigorin (ok), 22:55, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://packages.altlinux.org/ru/search?branch=p10&name=lkrg
     

  • 1.4, йцу (?), 14:10, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Подскажите, чем принципиально это отличается от AppArmor или SeLinux?
    Тем что исключительно в пространстве ядра?
     
     
  • 2.5, йцу (?), 14:13, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Т.е. оно скорее дополняет SeLinux-подобные системы?
     
  • 2.33, Аноним (-), 18:06, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Подскажите, чем принципиально это отличается от AppArmor или SeLinux?
    > Тем что исключительно в пространстве ядра?

    Тем что оно делает несколько другие вещи. AppArmor и SELinux сами по себе урезают доступ юзерспейсным программам. Но вот именно ядро от атак это если и защищает как-то, то разве что как побочный эффект. А вон то целенаправленно укрепляет ядро, пытаясь сделать так чтобы даже неизвестные эксплойты скорее всего обломались бы. Вообще по своему годная идея, но отдельный модуль все же неудобно, да...

     
     
  • 3.74, Аноним (-), 16:06, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это магия, понятно
     
     
  • 4.79, Аноним (-), 17:37, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > это магия, понятно

    Типа того. Оно помогает эксплойту пролететь мимо не причиняя урона. Solardiz так то сам безопасник - и потому догадывается как испортить настроение себе подобным, не сработавший эксплойт и запал этой активности - хороший подарок атакующему на новый год.

     

  • 1.50, Аноним (-), 23:15, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто нибудь это проверял
    Kernel Self Protection Settings - https://github.com/Whonix/security-misc
     
  • 1.51, Аноним (-), 23:40, 29/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.kicksecure.com/wiki/Main_Page

    Linux Kernel Runtime
    Guard (LKRG) - LKRG kills entire classes of kernel exploits and will be available in the next version.

     
  • 1.55, Онаним (?), 00:40, 30/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А где модуль для защиты от уязвимостей в модуле защиты от уязвимостей?
     
     
  • 2.57, Аноним (-), 00:41, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там же, только сверху
     
  • 2.78, Аноним (-), 17:33, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А где модуль для защиты от уязвимостей в модуле защиты от уязвимостей?

    Пропатчь: загружай модуль защиты из модуля защиты. Так все модули защиты будут защищены...

     

  • 1.70, Аноним (70), 13:05, 30/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "it was stated that LKRG is bypassable by design" это все что нужно знать о lkrg:

    https://github.com/milabs/lkrg-bypass

    https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html

     
     
  • 2.75, Аноним (-), 16:13, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кортинге зочёдные !

    https://a13xp0p0v.github.io/img/snowballs.jpg

    И снова шигорин будет ворочацо по начам...

     
     
  • 3.81, Аноним (81), 17:54, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > И снова шигорин будет ворочацо по начам...

    Этот анализ к его эль-полену не очень применим, где у него rax вообще? :). Понятно что не панацея, но как минимум кому-то придется еще раз с таким же анализом подолбаться, над относительным экзотом.

     
  • 2.80, Аноним (-), 17:50, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "it was stated that LKRG is bypassable by design" это все что нужно знать о lkrg:

    А ты сам это читал, чудак?

    > The Linux Kernel Runtime Guard (LKRG) is an amazing project! It's a Linux kernel module that
    > performs runtime integrity checking of the kernel and detects kernel vulnerability exploits.

    Это вот оттуда :). Автор основательно подолбался с взломом, при том первые попытки обломались. А LKRG честно сообщает что да, так можно - но это много долботни и ненадежно.

     
     
  • 3.95, Аноним (70), 08:54, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты не дочитал - он не долбался, а забил на них после безответных постов в их конфу о способах обхода. закопайте это
     
     
  • 4.97, Аноним (97), 10:24, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Забил на кого На LKRG или способы обхода Ну, блин, мне x86 не нравится и я чит... большой текст свёрнут, показать
     
  • 4.103, solardiz (ok), 15:49, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    До всяких постов у нас с Александром Поповым была дискуссия в личной переписке. А публичный ответ вот: https://www.openwall.com/lists/lkrg-users/2021/08/26/3

    Пока что для защиты от этого обхода можно использовать lkrg.hide=1 или/и kernel.kptr_restrict=2

     
     
  • 5.106, Аноним (-), 14:16, 01/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как интересно, про kptr я оказывается и до этой новости додумался, но спасибо что напомнили, перепроверил...
     
  • 2.93, Аноним (93), 23:20, 30/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, LKRG - это костыль. Но в Линухе приходится довольствоваться и таким костылём.
    И это в то время, когда в Вантузах части ядра уже работают в отдельных виртуалках под гипервизором.
     
     
  • 3.98, Аноним (-), 10:35, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в каком-то роде фича Чем неожиданнее для атакующего, тем выше шанс что он о... большой текст свёрнут, показать
     
     
  • 4.101, Аноним (93), 13:46, 31/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.

    Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся проникновении. Уже по факту!

    > Сейчас нам аноним расскажет...
    > ...
    > (глядя на кучку виртуалок, user mode linux, контейнеры и проч) вообще так и без вантузов можно...

    Аноним прогнулся и упал, глядя из-под Qubes на твой героический пердолинг.

    В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.

     
     
  • 5.107, Аноним (-), 14:21, 01/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если при этом логика сплойта отвалится - не так уж и страшно, ведь свою цель он ... большой текст свёрнут, показать
     
  • 5.109, Саша Ал Александр (?), 06:11, 03/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.

    Вантуз-это не Linux и с этим очень трудно спорить...

     
  • 5.112, n00by (ok), 17:11, 08/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.
    > Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся
    > проникновении. Уже по факту!

    "Проверка контекста состоит из двух этапов: сперва проверка структуры самого контекста, которая происходит на DPC-уровне, затем планируется work item, осуществляющий проверку защищаемых структур в системном потоке. Если проверка была удачной, старый контекст удаляется и вместо него создается новый, который будет запущен через случайный интервал времени. Если проверка не удалась, PatchGuard зачищает все свои следы, в том числе зануляя стек, и демонстрирует синий экран с кодом ошибки 0x109: CRITICAL_STRUCTURE_CORRUPTION."

    Сообщите своё мнение в Микрософт.

     

  • 1.99, swabrostionnayaformapravleniya (?), 10:55, 31/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В финальной версии ядра каждая строчка кода будет в отдельной изоляции?
     
     
  • 2.111, Аноним (111), 10:49, 03/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лишь бы на rust не писать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру