LKRG: Linux untuk Mendapatkan Modul Kernel Beban untuk Pemeriksaan Integriti Runtime

Logo LKRG

Ahli komuniti sumber terbuka sedang menjalankan projek penumpuan keselamatan untuk kernel Linux. Dinamakan Linux Kernel Runtime Guard (LKRG), ini adalah modul kernel yang boleh dimuatkan yang akan menjalankan pemeriksaan integriti runtime kernel Linux.

Tujuannya adalah untuk mengesan percubaan eksploit untuk kelemahan keselamatan diketahui dan tidak diketahui terhadap kernel Linux dan cuba menghalang serangan.

LKRG juga akan mengesan peningkatan keistimewaan untuk menjalankan proses, dan membunuh proses berjalan sebelum kod eksploit berjalan.

Projek yang sedang dibangun sejak 2011. Versi pertama dikeluarkan.

Oleh kerana projek itu dalam perkembangan awal, versi LKRG hanya akan melaporkan pelanggaran integriti kernel melalui mesej kernel, tetapi sistem pengawasan eksploit penuh akan digunakan ketika sistem dimajukan.

Bekerja pada projek ini bermula di 2011, dan LKRG telah melalui fasa "pembangunan semula", oleh kerana ahli LKRG Alexander Peslyak menyifatkan proses itu.

Versi awam pertama LKRG -LKRG v0.0- kini hidup dan tersedia untuk dimuat turun halaman ini. Wiki juga tersedia di sini, Dan halaman Patreon untuk menyokong projek itu juga telah ditubuhkan.

Walaupun LKRG akan kekal sebagai projek sumber terbuka, penyelenggara LKRG juga mempunyai rancangan untuk versi LKRG Pro yang akan termasuk membina LKRG khusus dan sokongan untuk pengesanan eksploit spesifik, seperti pelampung kontena. Pasukan merancang untuk menggunakan dana dari LKRG Pro untuk membiayai projek lain.

LKRG adalah modul kernel. Bukan patch.

Projek yang sama ialah Pemerhati Kernel Tambahan (AKO), tetapi AKO berbeza daripada LKRG kerana ia adalah modul beban kernel dan bukan patch. Pasukan LKRG memilih untuk membuat modul kernel kerana menampal kernel mempunyai kesan langsung kepada keselamatan, kestabilan sistem dan prestasi.

Dengan menawarkan modul kernel ini juga menjadikan LKRG lebih mudah untuk digunakan secara per-sistem tanpa perlu menggerogoti kod kernel teras, proses yang sangat rumit dan rawan.

Modul kernel LKRG kini boleh didapati untuk distros Linux utama seperti RHEL7, OpenVZ 7, Virtuozzo 7, dan Ubuntu 16.04 ke baris utama terkini.

Bukan penyelesaian yang sempurna

Tetapi pencipta LKRG adalah pengguna amaran untuk tidak menganggap alat mereka sebagai tidak dapat dipecahkan dan 100% selamat. Mereka berkata LKRG adalah "dilangkau oleh reka bentuk," dan hanya menyediakan "keselamatan melalui kepelbagaian."

Walaupun LKRG mengalahkan banyak kelemahan kernel Linux yang sedia ada, dan kemungkinan akan mengalahkan banyak eksploitasi masa depan (termasuk kelemahan yang belum diketahui) yang tidak secara khusus cuba memintas LKRG, ia dilangkau oleh reka bentuk (walaupun kadang-kadang dengan perbelanjaan yang lebih rumit dan / atau eksploitasi kurang dipercayai). Oleh itu, boleh dikatakan bahawa LKRG menyediakan keselamatan melalui kepelbagaian, seperti menjalankan kernel OS yang tidak biasa, namun tanpa kelemahan kegunaan yang sebenarnya menjalankan OS yang tidak biasa.

LKRG adalah serupa dengan perisian antivirus berasaskan Windows, yang juga berfungsi di peringkat kernel untuk mengesan eksploit dan malware. Walau bagaimanapun, pasukan LKRG mengatakan bahawa produk mereka jauh lebih selamat, antivirus dan perisian keselamatan endpoint lain kerana ia mempunyai asas yang lebih kecil, dengan itu merupakan jejak yang lebih kecil untuk memperkenalkan pepijat dan kelemahan baru di peringkat kernel.

Versi LKRG semasa menambah penurunan prestasi 6.5%

Peslyak berkata LKRG paling sesuai untuk mesin Linux yang tidak boleh disambung semula selepas kecacatan keselamatan untuk menambal kernel. LKRG membolehkan pemilik untuk terus menjalankan mesin dengan langkah keselamatan di tempatnya sehingga patch untuk kelemahan kritikal boleh diuji dan digunakan semasa penyelenggaraan yang dirancang windows.

Ujian menunjukkan bahawa memasang LKRG v0.0 menambah impak prestasi 6.5%, tetapi Peslyak mengatakan ini akan dikurangkan apabila pembangunan bergerak ke hadapan.

Ujian juga menunjukkan bahawa LKRG mengesan percubaan eksploitasi untuk CVE-2014-9322 (BadIRET), CVE-2017-5123 (waitid (2) access_ok hilang), dan CVE-2017-6074 (protokol DCCP selepas digunakan) gagal mengesan CVE-2016-5195 (Dirty COW). Pasukan itu berkata LKRG gagal menemui peningkatan keistimewaan Dirty COW kerana strategi "disiasat oleh reka bentuk" yang telah disebutkan sebelum ini.

Sekiranya Dirty KOW "pintasan" LKRG berlaku kerana sifat bug dan ini cara untuk mengeksploitasi ia, ia juga merupakan cara untuk mengeksploitasi masa depan untuk memintas LKRG dengan cara yang sama secara langsung menyasarkan ruang pengguna. Ia masih dapat dilihat sama ada eksploitasi seperti itu menjadi biasa (tidak mungkin kecuali LKRG atau yang serupa menjadi popular?) Dan kesan (negatif?) Mengenai keandalannya yang akan dimiliki (untuk kelemahan kernel yang secara langsung menyasarkan ruang pengguna tidak penting dan mungkin tidak langsung ).

Artikel yang dikemaskinikan untuk menambah bahawa LKRG juga boleh mengesan eksploitasi kernel yang tidak diketahui dan menyatakan secara mendalam bahawa LKRG meminjam idea dari AKO.

Source

Tinggalkan Komen

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.