Выпуск модуля LKRG 0.2 для защиты от эксплуатации уязвимостей в ядре Linux

Как сообщает opennet.ru проект Openwall представил выпуск модуля ядра LKRG 0.2 (Linux Kernel Runtime Guard), нацеленного на выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Об особенностях LKRG можно прочитать в первом анонсе проекта.

Основные изменения:

• Добавлена возможность загрузки на ранних стадиях (например, из initramfs);
• Добавлен sysctl lkrg.random_events для включения выполнения проверок целостности кода при наступлении случайных событий (если установлено значение 0, то проверка выполняется через регулярные интервалы времени, заданные в sysctl lkrg.timestamp);
• Снижены накладные расходы. При полном запуске в полном режиме падение производительности составляет 2.5%, а при запуске без проверки целостности по случайным событиям - 0.7%. Для сравнения, в первом выпуске накладные расходы оценивались в 6.5%;
• В коде проверки целостности устранена взаимная блокировка в функции get_online_cpus, проявляющаяся при сборке ядра с опцией CONFIG_PREEMPT_VOLUNTARY=y;
• Устранено ложное срабатывание проверки целостности, возникающая при определенном стечении обстоятельств из-за механизма *_JUMP_LABEL;
• Устранено ложное срабатывание определения эксплоитов в ситуации, когда ядро запускает вспомогательные исполняемые файлы в пользовательском режиме.