LINUX.ORG.RU

Linux Kernel Runtime Guard v0.2

 , , , ,


1

1

Linux Kernel Runtime Guard (LKRG) ― это экспериментальный модуль ядра, обеспечивающий контроль целостности и обнаружение работы эксплоитов, направленных на пространство ядра.

  • Поддержка загрузки на раннем этапе (например, из initramfs).
  • Добавлен новый sysctl для управления контролем целостности.
  • Уменьшено воздействие на производительность (среднее снижение на тестовой выборке 2.5%).
  • Исправлены ложные срабатывания, возникающие в некоторых случаях из-за *_JUMP_LABEL.
  • Исправлены ложные срабатывания, возникающие во время запуска ядром вспомогательных приложений пользовательского пространства (usermode helpers).
  • Исправление ошибок.

>>> Подробности

Deleted

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 1)

Ответ на: комментарий от kirk_johnson

Ты участвовал в разработке?

Нет, это проект Adam 'pi3' Zabrocki.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Ну вот и нам антивирусов завезли.

При обнаружении каких-то несанкционированных действий информация об этом куда-то будет уходить?

micronekodesu ★★★
()

Кстати, это исследовательский проект, или это действительно полезно для обычного Васи?

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Не, я про запись в логи, а отправку куда-нибудь там на сервера проекта где эти «дампы» проанализируют и поймут, было ли это ложным срабатыванием, или же надо трубить на все интернеты что в какой-то свободный проект пихнули решето.

Это вот как раз к вашему вопросу про обычного Васю - поставить эту тулзу на ПК пользователя с низкой компьютерной грамотностью принесет больше профита или больше проблем?

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

Проекту всего 2 месяца, какие к черту «ПК пользователя с низкой компьютерной грамотностью».

Deleted
()

we might introduce paid LKRG Pro

ясно-понятно

anonymous
()
Ответ на: комментарий от micronekodesu

Ну а в чем проблема?

В стабильности же, и в поддержке только одного дистрибутива.

//jollheef

anonymous
()
Ответ на: комментарий от anonymous

Модуль ядра прибит к дистрибутиву? Собрать его отдельно (в смысле под другой дистр) как-то я не могу?

Мне правда интересно использование этого проекта.

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

Ага и тянет в зависимостях GTK и QT. Нет ну серьезно, как модуль _ядра_ может быть прибит к юзерленду?

anonymous
()
Ответ на: комментарий от micronekodesu

Модуль ядра прибит к дистрибутиву?

Поддержка out-of-tree модулей ядра не является тривиальной задачей, поэтому в ближайшее время оно скорее всего будет развиваться только для одного.

Собрать его отдельно (в смысле под другой дистр) как-то я не могу?

Под другое ядро ты собрать можешь попробовать, но скорее всего придётся патчить изменившиеся структуры. Это не говоря о том, что работоспособность никто вне rhel 7 не проверяет.

Мне правда интересно использование этого проекта.

Пока использование в рамках «потестить, написать фидбек, поддержать и так далее». Для продакшн систем использование рискованно.

anonymous
()

Теперь осталось написать эксплоиты, придумать костыль или вылипить что-то из говна и палок, что заставит всё это дело работать. И тогда заживём как все белые люди, все 3%.

anonymous
()

Как это помогает от бэкдоров в Intel ME и подобном от других производителей?

anonymous
()
Ответ на: комментарий от anonymous

Как это помогает от бэкдоров в Intel ME и подобном от других производителей?

Никак. Причем тут Intel ME вообще?

Deleted
()

«При обнаружении каких-то несанкционированных действий информация об этом куда-то будет уходить?» - нет (во всяком случае, такой функциональности в LKRG нет ни сейчас, ни в планах)

«Кстати, это исследовательский проект, или это действительно полезно для обычного Васи?» - это недавно появившийся и развивающийся проект для реального использования, но не «обычным Васей» (во всяком случае, пока что). Например, LKRG может быть полезен какому-нибудь масс-хостинг-провайдеру, где по какой-то причине ядра не всегда своевременно обновляются (или перезагрузки систем откладываются, при том что и live patch'и не используются), а также на случай 0-day уязвимостей, от которых еще нет исправления для используемого дистрибутива. На нынешнем раннем этапе развития LKRG, подобный провайдер мог бы пробно загрузить LKRG на небольшом количестве систем, чтобы выявить возможные проблемы.

«we might introduce paid LKRG Pro [...] ясно-понятно» - а что именно ясно-то? ;-) Для нас это вполне ожидаемая реакция что многие не захотят пользоваться проектом зная о потенциальных коммерческих планах, но считаем честнее предупредить о такой возможности заранее, а ее причина не только в желании заработать или хотя бы поддерживать разработку, но и в концепции security through diversity (да, противоречивой). Если LKRG станет слишком популярным, то он больше не будет предоставлять diversity, и встанет вопрос о целесообразности продолжения проекта или же о выделении под-проекта с ограниченной базой пользователей (и логично ее ограничить теми, кто проект поддерживает). Увы, но это понимаемое нами уже с самого начала одно из возможных развитий проекта, чем мы откровенно делимся с потенциальными пользователями.

«в поддержке только одного дистрибутива», «в ближайшее время оно скорее всего будет развиваться только для одного», «работоспособность никто вне rhel 7 не проверяет» - на LKRG homepage у нас сказано обратное - поддерживаются ядра дистрибутивов RHEL7 и подобных, Ubuntu 16.04 и новее, а также mainline (сейчас это вплоть до 4.15 включительно). Да, это «не является тривиальной задачей», но тем не менее Адам за эту задачу взялся и пока от нее отказываться не планирует.

«Это проект по внедрению руткитов» - будучи участником проекта, я бы очень хотел узнать об этом подробнее. Расскажете? ;-)

У меня самого полно критики LKRG - часть ее приведена у нас прямо на LKRG homepage. Это наш самый противоречивый проект, по нашей же оценке. Мы рады критике, но пожалуйста по делу.

solardiz
()

Эксплоиты, биткоины, спорозоиты!

anonymous
()

звучит интересно. а участие в проекте solar designer-а придаёт ещё бОльшую интересность.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.