OpenForum RSS: Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимостей в ядре Linux https://www.opennet.ru/openforum/vsluhforumID3/131529.html Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.7 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59760<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Пряник) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#33 Mon, 18 Sep 2023 09:03:09 GMT Вопрос времени. Другой вопрос: почему не использовать AppArmor, SELinux?<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#31 Sat, 16 Sep 2023 17:46:53 GMT &gt;А если<br>&gt;Короче, такие вещи лучше захардкодить<br><br>А если захардкодишь неверно? А если во рту грибы выросли?<br><br>&gt;А если файл недоступен, что делать?<br><br>Отключать эту защиту, писать в dmesg.<br><br>&gt;А если доступен, но неправильного формата?<br><br>Отключать эту защиту, писать в dmesg.<br><br>&gt;А если прочиталась только половина файла?<br><br>Если ошибка чтения - отключать эту защиту, писать в dmesg.<br>Если нет ошибки чтения - применять все прочитанные пути, включать защиту. Если у тебя сбойный диск - то ты не можешь гарантировать, что сам модуль ядра и вообще сам бинарь ядра верно прочитан. В таких условиях все гарантии аннулированны и ты вообще должен сказать спасибо, что у тебя хоть что-то работает.<br><br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#30 Sat, 16 Sep 2023 12:47:51 GMT <br>$ apt search lkrg<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#29 Sat, 16 Sep 2023 12:19:15 GMT Сдается мне, что установить не самое главное.<br>Тут важно, как правильно приготовить и как его есть<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#27 Sat, 16 Sep 2023 10:34:07 GMT https://www.kicksecure.com/wiki/Linux_Kernel_Runtime_Guard_LKRG<br>https://github.com/lkrg-org/lkrg?ysclid=lmm2jjqj3p363822167<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#26 Sat, 16 Sep 2023 10:22:12 GMT https://github.com/Kicksecure/security-misc<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#25 Sat, 16 Sep 2023 10:20:27 GMT Kernel Self Protection Settings<br><br>Whonix uses strong Kernel Hardening Settings as recommended by the Kernel Self Protection Project (KSPP). <br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#24 Sat, 16 Sep 2023 03:48:53 GMT Поправлю ссылку: https://grsecurity.net/tetragone_a_lesson_in_security_fundamentals.php и эта не работает. Эта тоже не работает: https://grsecurity.net/blog<br><br>Попробуйте так:<br>По ссылке не переходите, а наберите руками: https://grsecurity.net<br>Далее в правом вверхнем углу перейдите на BLOG (https://grsecurity.net/blog) мне все статьи с этого блога нравятся, читаю по возможности.<br>На странице блога от May 24, 2022 есть статья "Tetragone: A Lesson in Security Fundamentals" написанная Pawel Wieczorkiewicz, Brad Spengler (https://grsecurity.net/tetragone_a_lesson_in_security_fundamentals.php)<br> Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/131529.html#23 Sat, 16 Sep 2023 03:32:13 GMT Мне нравится больше классический подход:<br>Строгое W^X<br>Для неизменяемых данных строгое RO<br><br>&gt; предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов<br><br>Считаю все технологии позволяющие вносить любые изменения в работающие ядро - БЕКДОРОМ!<br><br>Все что исполняется никогда не должно изменятся, а что изменяется никогда не должно исполнятся. Это фундамент ИТ ИБ определён математиками в конце 1960-тых и принят как стандарт в 1983г. Нарушать его нельзя.<br><br>Все технологии требующие WX надо выкинуть с ядра, системного и прикладного ПО, это самый минимум для ИБ.<br><br>А ловить вири, когда те уже ЗАПУСТИЛИСЬ С ПРАВАМИ ЯДРА в системе, неблагодарное занятие.<br><br>Еще один аналогичный плохой пример:<br>eBPF-based Security Observability and Runtime Enforcement solution, named Tetragon,(Isovalent) https://grsecurity.net/tetragone_a_lesson_in_securit