Linux Kernel Runtime Guard 1.0 freigegeben
Linux Kernel Runtime Guard erreicht nach 7 Jahren die Version 1.0 und bietet Unterstützung für Kernel 6.17, Fehlerkorrekturen, Leistungsverbesserungen und Codebereinigung.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Der Linux Kernel Runtime Guard (LKRG), der im Rahmen des Openwall-Projekts gepflegt wird, hat offiziell Version 1.0 erreicht, mehr als sieben Jahre nach seiner ersten öffentlichen Veröffentlichung im Jahr 2018.
LKRG ist ein Kernel-Modul, das als Sicherheitsschicht für den Linux-Kernel fungiert, falls Sie damit noch nicht vertraut sind. Seine Hauptaufgabe ist es, den Kernel zu überwachen, während er läuft, und alles abzufangen, was verdächtig oder unsicher aussieht.
Wenn beispielsweise ein Angreifer versucht, eine Kernel-Schwachstelle auszunutzen, indem er Kernel-Anmeldedaten überschreibt oder den Kernel-Speicher verändert, kann LKRG dieses Verhalten erkennen. Wenn es etwas Ungewöhnliches findet, kann es dies protokollieren, den angreifenden Prozess beenden oder je nach Konfiguration andere Abwehrmaßnahmen ergreifen.
Mit anderen Worten: LKRG ersetzt nicht andere Sicherheitsfunktionen wie SELinux oder AppArmor, sondern ergänzt sie durch zusätzliche Prüfungen auf der Kernel-Ebene. Nun zurück zum Thema.
Zwischen den Versionen 0.9.9 und 1.0 gab es mehrere größere Änderungen. LKRG unterstützt nun die neuesten Mainline-Linux-Kernel, getestet bis 6.17-rc4. Es wurden Anpassungen für Linux 6.13 und neuer vorgenommen, einschließlich des Wegfalls von Hooks für override_creds() und revert_creds(), während die Überprüfungsmöglichkeiten für das Überschreiben von Credential Pointers an anderen Stellen für ältere Kernel erweitert wurden.
Die Kompatibilität von OverlayFS wurde ebenfalls verbessert, insbesondere um Fehlalarme bei der Ausführung von Containern auf 6.10 bis 6.12 zu vermeiden. Außerdem ist die Codebasis jetzt schlanker, mit etwa 2.400 Zeilen weniger als zuvor.
Was die Leistung angeht, so sind Shadow Data Lookups pro Task jetzt ohne Sperren möglich, und das Shadow Data Locking selbst wurde mit feineren Sperren überarbeitet. Viele Hooks wurden von kretprobes auf kprobes umgestellt, was die Zuverlässigkeit und Geschwindigkeit erhöht und gleichzeitig doppelten Code reduziert. Prüfungen auf Integritätsverletzungen wurden in unlikely() verpackt, wodurch heiße Pfade von unnötigem Cache-Wirrwarr befreit wurden.
Darüber hinaus behebt LKRG 1.0 mehrere Race Conditions, einschließlich solcher, die SECCOMP-Filter, Namespace-Validierung und sysctl-Änderungen betreffen. Falschmeldungen im Zusammenhang mit der Korruption des Seccomp-Modus auf neueren Kerneln wurden ebenfalls behoben. Darüber hinaus verbesserte LKRG die Kompatibilität mit Intel CET IBT und Clang's KCFI auf x86_64, obwohl GCC der offiziell unterstützte Compiler bleibt.
Zu den weiteren bemerkenswerten Aktualisierungen gehören gehärtete Builds für die Userland-Logger-Tools von LKRG, bessere Fehlerberichte und Anpassungen der CI-Tests. Laut den Entwicklern decken die Tests nun Fedora mit den neuesten Mainline-Kerneln, Ubuntu 24.04 LTS bis 25.10 und das alte CentOS 7 trotz seines Auslaufens ab.
Aktualisierte Pakete sind bereits über das Rocky Linux SIG/Security Repository verfügbar, und Builds für Rocky Linux 9.6 und 8.10 werden bald veröffentlicht. Diese Pakete sind auch mit anderen Enterprise-Linux-Distributionen kompatibel, einschließlich AlmaLinux und RHEL 8/9.
Weitere Informationen finden Sie in der Ankündigung.
Comments