LKRG 1.0.0
Спустя семь лет разработки представлена версия LKRG 1.0.0. LKRG (Linux Kernel Runtime Guard) — модуль ядра Linux, предназначенный для проверки целостности ядра во время его работы и для обнаружения попыток использования уязвимостей.
Изменения после выпуска версии 0.9.9:
- Расширена совместимость с последних версий Linux (протестированы версии вплоть до 6.17-rc4);
- Для ядер версии 6.13+ прекращен перехват вызовов
{override,revert}_creds(), что ограничило выявление атак, использующих указательcred; - Ограничения выше были компенсированы проверкой перезаписи указателя
credв других местах; - Теперь не отслеживаются учётные данные, для которых не производилась проверка целостности;
- Для ядер 6.10–6.12 (на ядрах 6.13+ нет необходимости в данной функции) появилась поддержка механизма в ФС OverlayFS
owl_tmpfile, что позволило предотвратить ложные срабатывания при работе с изолированными файлами; - Для архитектуры x86–64 добавлена поддержка механизма Intel CET IBT и/или KCFI;
- Улучшена во многиях случая экспериментальная поддержка clang, но официально остаётся поддержка только GCC;
- Для улучшения надёжности и производительности во многих хуках вместо kretprobes задействован механизм kprobes;
- Переработана блокировка данных в ядре, специфичных для процесса (per-task shadow data)
- Проверка нарушений целостности песочницы выполняется в функции
unlikely(), чтобы код реагирования наcold attackне мешал кешированию вhot paths; - Тесты kprobes через собственную dummy-функцию сделаны опциональными;
- В пакетах rpm утилиты для логгирования в пользовательском пространстве скомпилированы и слинкованы с дополнительными флагами защиты;
- Логи в lkrg-logger теперь доступны для пользователя в зависимости от его групп;
- Исправлены многие баги, улучшена производительность и т. д.
>>> Анонс на официальном сайте
