The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск модуля LKRG 0.9.4 для защиты от эксплуатации уязвимостей в ядре Linux

24.07.2022 16:20

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.4 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта.

Среди изменений в новой версии:

  • Добавлена поддержка системы инициализации OpenRC.
  • Обеспечена совместимость с LTS-ядрами Linux 5.15.40+.
  • Оформление выводимых в лог сообщений переработано для упрощения автоматизированного анализа и удобства восприятия при ручном разборе.
  • Для сообщений LKRG задействованы собственные категории логов, что упрощает их отделение от остальных сообщений ядра.
  • Модуль ядра переименован из p_lkrg в lkrg.
  • Добавлены инструкции по установке с использованием DKMS.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Проект Openwall подготовил модуль для защиты от эксплуатации уязвимостей в ядре Linux
  3. OpenNews: Выпуск модуля LKRG 0.9.0 для защиты от эксплуатации уязвимостей в ядре Linux
  4. OpenNews: Проблемы с безопасностью в патчах, предложенных сотрудником Huawei для защиты ядра Linux
  5. OpenNews: Проект grsecurity опубликовал реализацию механизма защиты RAP для ядра Linux
  6. OpenNews: В ядро Linux 5.4 приняты патчи для ограничения доступа root к внутренностям ядра
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/57544-lkrg
Ключевые слова: lkrg, linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 16:35, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Существует ли модуль для эксплуатации уязвимостей? Больше уязвимостей хороших и разных. Лучше конечно когда в пропритетарных поделках типа фряхи, но линуксовые тоже нужное дело.
     
     
  • 2.22, pavlinux (ok), 10:51, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Существует ли модуль для эксплуатации уязвимостей?

    eBPF и путаны с вокзала будут завидовать ваше проходимости.

     
     
  • 3.23, Аноним (3), 11:16, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это не то, как он поможет сканировать ядро? Интерес имея права найти уязвимости для системы где прав нет.

     
     
  • 4.28, Аноним (-), 13:53, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Syzkaller тебе в руки. Правда Syzbot тоже им пользоваться умеет,  да еще репортит баги и бисектит до проблемного комита. Но это не значит что его нельзя обштопать в каком-то закоулке.

    Еще можно обратить внимание на namespaces. Идея хорошая, но т.к. кишки ядра никогда для этого не создавались, усы иногда отклеиваются.

     
  • 4.39, pavlinux (ok), 21:16, 29/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какие бл уязвимости, ebpf - это скриптовый ассемблер внутри ядра. Чо нужно то и пихай. Если осилишь    
     
     
  • 5.40, Аноним (3), 21:26, 29/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и я не понял, каким местом ты думал, когда полез в разговор со своим bpf. Я конечно знаю только как bpftrace использовать, но вряд ли он тут поможет.
     

  • 1.4, Попандопала (?), 17:18, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Сделали бы уж сразу полноценный internet security или total protection,а то всё стесняются. D
     
     
  • 2.5, Аноним (5), 17:45, 24/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Runtime Guard тоже звучит!
     
  • 2.8, Dzen Python (ok), 18:42, 24/07/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Слишком мокрописечно звучит. Словно возврат в 2006й, где на варезниках очень любили такой громкий софт и рисовать им коробочки.

    Сейчас в тренде другое. Ждем:
    - Rust(tm) Memory Safety Kernel (RMSk). Проверяет всех боровов в рантайме, ядро работает на 90% медленнее, против несогласных уже собрана айнзац-команда из кортим.
    - Русская Блокада для Linux. Сертифицировано ФСТЭК, одобрено ФСБ и лично Темнейшим, доступно только нескольких странах.
    - Kaspersky eBPF Module. Блокирует все и всех, кроме выделенной уязвимости для ФСБ. Во время подключения тов.майора вешает сисему намертво, по окончании сеанса показывает рекомендации тов.майора всем юзерам.
    - Total CVE Awareness. Аналогично модулю выше, но только для ЦРУ и АНБ. Но с функцией автоматической перлюстрации всех входящих файлов.

     
     
  • 3.9, AKTEON (?), 20:23, 24/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А где Золотой Щит Совершенномудрого Правителя ?? Эклетично совмещающий функции двух последних с автоматическим выписыванием штрафов через wechat ??
     
     
  • 4.19, Бывалый смузихлёб (?), 09:32, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А поддерживается функция автоотправки повесток сразу_в_тюрьму( ведь система уже решила что виноват, какие-то доводы адвокатов уже бессмысленны ) через вичат с отметкой о получении и прочтении, юридически полностью аналогичных бумажным ?
     
     
  • 5.24, anonymous (??), 12:24, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Пока реализована только функция отмены тебя и всего что ты сделал.
     
     
  • 6.25, Аноним (-), 13:41, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Самое время прикрутить управление автоматическими туррелями. Функция отмены и экономия бумаги для повесток. Удобно и эффективно.
     

  • 1.10, Аноним (10), 22:11, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    И зачем тут OpenRC? Я люблю SystemD, и хочу, чтобы только он у меня и был!

    // b.

     
     
  • 2.31, Michael Shigorin R7 (?), 17:36, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ...золотая рыбка удивилась такому желанию, но все же выполнила...
     

  • 1.11, pavlinux (ok), 22:36, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >  от эксплоитов уже известных уязвимостей ядра Linux
    > (например, в ситуациях когда в системе проблематично обновить ядро),

    ...
    > Модуль ядра переименован из p_lkrg в lkrg.

    Ядро проблематично обновить, а модуль собрать и грузануть непроблематично?  


     
     
  • 2.12, Аноним (12), 23:11, 24/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >так и для противостояния эксплоитам для ещё неизвестных уязвимостей.
     
     
  • 3.20, pavlinux (ok), 10:39, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    /dev/vanga ?
     
     
  • 4.26, Аноним (-), 13:44, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не совсем. Оно пытается обнаруживать и парировать попытки эксплойтирования ядра. Конечно, лучше если у тебя лодка без пробоины. Но если вдруг так получилось, плошка для вычерпывания воды или даже автоматическая помпа окажутся очень кстати по сравнению с перспективой уйти на дно.
     
  • 2.14, mener (?), 07:21, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если в новой версии ядра вместе с исправлениями поломали что-то важное?
     
     
  • 3.16, Аноним (12), 08:30, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    проблемы индейцнв шерифа не волнуют. Твоя видеокарта обязаны быть такой же, как у Линуса лично. Иначе на сломанный видеодрайвер будет всем пофиг.
     
     
  • 4.17, Аноним (12), 08:31, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Впрочем на винде на сломанный видеодрайвер и так всем пофиг. Сломался - иди поддерживаемую карту покупай.
     
     
  • 5.18, пох. (?), 08:52, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну свой цирозложик 94го года выпуска уже по любому можешь выбросить и з@к0пать где-нибудь на свалке особо опасных отходов.

    Мои вот нвидии нулевых годов - работают, ничего в них не "ломается". Разумеется, это не потому что stable api nonsense - в какой-то другой системе.

    И D2700 тоже работает, а не "intel никогда не выпускала такой драйвер"(c)индусская харя.


     
     
  • 6.29, Аноним (-), 13:58, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, именно поэтому маздай на карту менее чем DX10 не ставится. А линуху похрен, он и семейство радеонов типа R300 жрет, и прочие GF2 MX если кого на некромансию потянуло. Ютуб смотреть с FPS в цать раз быстрее VESA все же хватит. А в винде оно "стандартный VGA адаптер" с этим их stable api blah-doh.

    Собственно было аргументом для всяких сельских морд за линух. Можно решить трабл совершенно бесплатно и без беготни а от компа им ничего кроме браузинга, чатиков и немного ютуба и не надо. Ща блин нищие сельские училы под это геймерские видяхи пойдут покупать, аж два раза.

     
     
  • 7.32, пох. (?), 18:46, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, именно поэтому маздай на карту менее чем DX10 не ставится.

    Ну так может проблема именно в DX? Потому что вон жужжит вентилятором адская нвидевая е6-нина чья молодость совпала, наверное,  с рождением XP SP2. Т.е. эта древность поддерживалась лет пятнадцать, куда уже больше? Она бы померла бы давно, если бы использовалась.

    > Собственно было аргументом для всяких сельских морд за линух. Можно решить трабл совершенно
    > бесплатно и без беготни

    пока не напарываешься на D2700, и у тебя "стандартный VGA адаптер, только еще и с глюками в виде мертвого повисания". А на вендепоганой - гляди-ка, аппаратный декодинг того ютрупа. Ну да, десятка уже вроде не поддерживает, но опять же это плата 12го года, причем низкопотребляющая т.е. маломощная уже по тогдашним меркам, только-только на такие задачи ее уже тогда хватало, когда она была новой.

    > Ща блин нищие сельские училы под это геймерские видяхи пойдут покупать, аж два раза.

    Китайские ноуты они пойдут покупать. https://aliexpress.ru/item/1005004550219379.html
    Вполне работающая херня, между прочим. Венду кетайскую только не советую пытаться переставлять - драйверов не найдешь.

    И такого гуана - полный холодильник (вот с теми, где можно "просто плевать в экран" сложнее стало).
    Ну кому надо при этом тратить время и силы на твою доисторическую видимокарту, непохожую ни на что другое?

     
     
  • 8.34, Аноним (-), 21:44, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том что дров под новые винды для этих видях ну вот тупо нет В систем... большой текст свёрнут, показать
     
  • 3.27, Аноним (-), 13:45, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А если в новой версии ядра вместе с исправлениями поломали что-то важное?

    Тогда баг напиши. Или хренли предлагается, некромансить с ископаемыми ядрами, остановив время? Хреновое решение.

     
     
  • 4.33, пох. (?), 18:48, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> А если в новой версии ядра вместе с исправлениями поломали что-то важное?
    > Тогда баг напиши. Или хренли предлагается, некромансить с ископаемыми ядрами, остановив
    > время? Хреновое решение.

    stable nonsense, угу, очень хорошее решение.

    Поэтому 3% дрисктопов да и те на проверку дуалбутные.

     
     
  • 5.35, Аноним (-), 21:51, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > stable nonsense, угу, очень хорошее решение.

    Worksforme. Во всяком случае, если что-то идет не так - очень круто когда под боком есть именно линуксный кернел тим а не толпа раджей из первой линии саппорта, предлагающих почистить мышку по стандартной инструкции для даунов.

    > Поэтому 3% дрисктопов да и те на проверку дуалбутные.

    Negative on that. У меня вообще виндов нет вокруг. Это даже проблема до некоторой степени, ибо я вывесил весьма забавную, скажем так, абстракцию, линух ее хавает, а вот схавает ли и винда я даже и не знаю.

     
  • 2.15, Аноним (15), 07:27, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Перезагружать нужно, а сервер может не запуститься
    А тут перезагружать не нужно
     
     
  • 3.21, pavlinux (ok), 10:40, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так се эксперименты... на боевом серваке-то.  
     

  • 1.30, Составление сообщения (?), 17:04, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >LKRG packages exist in ALT Linux, Arch Linux, Astra Linux, Gentoo, Whonix, and Yocto (and thus also OpenBMC). Whonix's packaging is also usable for Debian and its other derived distributions (including Ubuntu).

    Прямо список хороших, годных дистрибутивов получился.

    Вопросы Солару - почему в списке нет Openwall? и в чём сходства и различия от PAC?

     
     
  • 2.37, solardiz (ok), 18:58, 26/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    LKRG не включен в Openwall GNU/*/Linux (Owl) хотя бы потому что на момент выпуска LKRG в 2018 году (а тем более сейчас) проект Owl уже был фактически заморожен. Технически же, LKRG поддерживает ветки ядер начиная с имеющихся в RHEL7, тогда как в Owl использовалась ветка на основе RHEL5. Что такое PAC не знаю.
     
     
  • 3.41, Составление сообщения (?), 09:47, 31/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно, спасибо.

    >Что такое PAC не знаю.

    PaX который, я опечатался. https://en.wikipedia.org/wiki/Executable_space_protection#PaX

     

  • 1.36, onanim (?), 09:01, 26/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Модуль ядра переименован из p_lkrg в lkrg.

    "stable api nonsense" as is :D

     
  • 1.38, Аноним (38), 12:04, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а зачем вы делаете уязвимости в ядре Linux?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру