Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.0 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54974
А если атаковать будут сабж вместо ведра? Опять защита уровня Неуловимого Джо?
естественно, будут! вон в firejail стабильно рутовые уязвимости находят.
но чем больше их найдут, тем меньше их останется и тем более безопасным в целом станет Линукс, благо онтопик (как и firejail) весьма небольшого размeра.
в отличие от.
Приступайте.
Какая это статья УК РФ? У меня пунктик на тему не нарушать законы страны, резидентом которой я являюсь. Да и много на "неуловимых" не заработаешь. А подстрекать нехорошо.
Статья 242 УК РФ - Взлом ядра Linux с особо тяжкимм последствиями
Тогда уж 228.
> Какая это статья УК РФ?Могу спросить юристов и друзей из Positive Technologies (кстати, как раз напомнили про phdays/standoff), но в исследовательских целях на собственном оборудовании -- не вижу, какая бы и с чего бы.
> Да и много на "неуловимых" не заработаешь.
Ну почему, тут вполне себе есть варианты: например, http://xakep.ru/2004/09/30/24085/ -- ещё один достойный участник ALT Security Team -- это очень неслабый плюс (не в деньгах, в возможностях). Жаль только, бравшиеся так и не сломали.
> это очень неслабый плюс (не в деньгах, в возможностях).и какие там "возможности" ?
ps: "победителю, если таковой найдется, будет вручена коробка с ALT
Linux 2.3 SOHO Server" - по-моему это очень смешно. даже в 2004 году.
>> это очень неслабый плюс (не в деньгах, в возможностях).
> и какие там "возможности" ?Например, три человека вместо двух (ldv@ и inger@). :-)
> ps: "победителю, если таковой найдется, будет вручена коробка с ALT
> Linux 2.3 SOHO Server" - по-моему это очень смешно. даже в 2004 году.Это не главное, просто ощутимое (было тогда).
PS: сдаётся мне, Вы немного сбились с нити обсуждения... я на "не заработаешь" отвечал, если что.
Судьба резидлента. А в какой стране резидентишь для своей страны? ;)
модуль ругается на bpfilter, что он выполняет какой-то говнокод в контексте ядра.одобряю!
Возможно, речь об этой недоделке в LKRG поддержки bpfilter на свежих ядрах: https://github.com/openwall/lkrg/issues/19 (ложные срабатывания).
наверное.> [327045.342864] [p_lkrg] LKRG initialized successfully!
> . . .
> [422488.049526] [p_lkrg] <Exploit Detection> UMH is executing file from memory...в принципе, я не против, что LKRG блокирует bpfilter (если блокирует).
CVE-2021-29155> An issue has been discovered in the Linux kernel mechanism to mitigate
speculatively out-of-bounds loads (Spectre mitigation).
> Unprivileged BPF programs running on affected systems can bypass the protection and execute speculatively out-of-bounds loads from the kernel memory. This can be abused to extract contents of kernel memory via side-channel.
> a PoC allows unprivileged local users to extract contents of 31 KByte window within the kernel memoryнепонятно, при чём тут защита от Spectre и BPF, но я всё ещё не против, что LKRG блокирует bpfilter :D
Ждём CVE в LKRG...
Вероятно, CVE в LKRG будут. Весьма неприятные ошибки уже были. Может быть, вместо того чтобы просто ждать с попкорном, поможете найти уязвимости в LKRG? Поможете подчистить и упростить код? Кстати, Адам - основной разработчик LKRG - за недавнее время нашел 8 багов в ядре, 5 из которых имеют CVE.Другой вариант моего ответа на подобную дежурную иронию см. в дискуссии о LKRG 0.8: https://www.opennet.me/openforum/vsluhforumID3/121075.html#12
> Может быть, вместо того чтобы просто ждать с попкорном, поможете найти уязвимости в LKRG? Поможете подчистить и упростить код?Всё зависит от оплаты.
На данный момент, оплаты такой работы нами нет. Мы и сами добровольцы. Но, может быть, ваш работодатель или клиент ее вам оплатит, если ему она в тему.
Ну, на нет - и дела нет.
Если станется вдруг что нужно - да, возможно так и выйдет.
Но пока и близко не нужно, да и слишком рисково непроверенное в ядро пихать - отсюда и шутки про CVE.
Один из людей, которые лет двадцать назад меня учили управлению, как-то упоминал, как его работодатель решил поиграть в честные конкурсы (это ещё в Киеве было). При том, что люди, которые могут сделать в срок и деньги, в общем-то были заказчику известны и понятны.Конкурс на разработку очередной части корпоративного портала выиграла какая-то неизвестная шарага, сроки сорвала, в бюджет не вписалась.
Работодатель выводы сделал, а мой знакомый счёл нужным показательно ту шарагу обанкротить.
PS: это к тому, что про оплату не всегда стоит заикаться, будучи незнамо кем.
Не переживайте, в вашу сторону я точно про оплату даже заикаться не буду.
Потому что всё равно ничего путного не предложите.
> Не переживайте, в вашу сторону я точно про оплату даже заикаться не буду.
> Потому что всё равно ничего путного не предложите.Путное, мальчик, я предлагаю толковым людям -- пока не жалуются.
Пока что кроме пустых понтов, никаких предложений от тебя не видно, дядя.
Очевидно что не один уважающий себя анонимный эксперт не станет ничего делать без достойной оплаты. А разработчик из альт линукс достойную анонимного эксперта оплату предложить не может
Естественно. Потому как 10-копеечных монет у него не завалялось,
а на большую зарплату анонимные эксперты, увы, не спрособны.
В массе своей.
> для противостояния эксплоитам для ещё неизвестных уязвимостейНа линуксе антивирусы не нужны, в отличие от этой вашей ненавистной винды.
Действительно, не нужны. Нужна защита от эксплойтов.
> Действительно, не нужны. Нужна защита от эксплойтов.А чем по-твоему занимаются антивирусы на винде? Вот ровно тем, что описано в статье. А не "вирусами", как эксперты опеннета могли бы подумать.
Но на линуксе конечно такое не нужно, это же линукс. Или нужно? Одни вон модуль выпускают, другие говорят что он не нужен - очень сложно разобраться в такой путанице.
Удалением файлов вирусов они занимаются, а не защитой от эксплуатации уязвимостей
Так вроде модуль HIPS за что то там
отвечает
Любому нормальному пользователю антивирусов в виндовс ясно что всё это линуксячье вранье. На самом деле вирусов для Линукс ещё больше чем в винде, просто линуксоиды не могут это понять!
>Дополнительно можно отметить недавнюю публикацию от разработчиков ОС Аврора (российской модификации Sailfish OS) о возможном усилении LKRG с помощью ARM TrustZone.Осталось только разработать свой процессор, лицензировать все патенты, построить свою фабрику, лицензировать все патенты, нанять квалифицированный персонал, при этом отсеяв агентов, произвести свой процессор, прошить в него свои ключи, предоставить ключи всем спецслужбам, убедить вендоров, что ваш процессор лучше их собственного ...
Конечно, очень полезная вещь - TrustZone. Держит руки быдла подальше от штатных отверстий. У кого нет 100 лишних миллиардов - тот может идти на ***.
Что за несвязный бред
мсье намекает на то, что ARM TrustZone - такой же бэкдор, как Intel ME и AMD PSP.
разве что без удалённого доступа к вашему компьютеру. но и локально "правильный" софт получит нужные ему права.
1. Технически таки это совсем другая штука. Отдельный привилегированый режим процессора, который может себе некоторые железки и регионы памяти от системы отпилить, а не отдельное процессорное ядро.2. Как сие работает все же документировано фирмой ARM.
3. На ряде чипов вы таки можете запускать в ATF именно свой код, в отличие от ME и PSP, тогда оно таки именно секурити фича.
4. Кстати ATF (ARM Trusted Firmware) - таки опенсорсное. По поводу чего народ запилил себе на его основе вполне себе доверябельные компилябельные и запускабельные варианты "trustzone software".
А вот с ME и PSP все упомянутое разумеется не светит. Но да, на чужой железке мутноблоб может доставить проблем и в trustzone. Это уже смотря кого и за что в той или иной железке держат.
> Осталось только
> разработать свой процессор
> лицензировать все патенты
> построить свою фабрику
> лицензировать все патенты
> нанять квалифицированный персонал
> при этом отсеяв агентов
> произвести свой процессорЭто всё в необходимом объёме уже сделано, если что. В работе следующая итерация.
Прямо какой-то ссср с 70 лет побед коммунизма.
Верно. А пока сабж только собирается использовать, Del и Lenivo уже вовсю исопльзуют https://www.servethehome.com/lenovo-is-using-amd-psb-to-vend.../
За что им лучи ненависти.
> В данную версию LKRG непосредственный вклад (через pull requests на GitHub) внесло несколько разработчиков, ранее не принимавших участие в проекте. В частности, так Борисом Лукашевым была добавлена возможность сборки в составе дерева ядра Linux, а Виталием Чикуновым из ALT Linux - интеграция с mkosi и GitHub Actions.А изменения в .gitignore ещё не считаются?
Упомянутые изменения нетривиальны как минимум по приносимой ими пользе проекту и пользователям.
solardiz, а сколько когда ждать штатрых пакетов для дистров и openwrt?
Это вопрос к разработчикам дистрибутивов. Пока что LKRG есть в ALT Linux, Arch Linux, Astra Linux, Pentoo и Whonix.
Pentoo - щаз заплачу. Кали линукс курит бамбук или это содержит бесплатное закаленное ядро?? Вообще же спасибо, даже не знал о его существовании.))
Свое ядро есть, но от gentoo-sources отличается лишь названием.((( Хотю усиленное и на шару...Жизня фуфло, кругом мамкины хакиры, надоели уязимости! Бздя жди меня.)))
Есть что-то подобное в *BSD системах?
А смысл? Там нет уязвимостей в ядре.
А почему в Linux есть?
> А почему в Linux есть?Потому что здесь опять собрание местных Петросянов?
https://docs.freebsd.org/en_US.ISO8859-1/books/developers-ha...
options INVARIANTS:
compile into the kernel a large number of run-time assertion checks and tests, which constantly test the integrity of kernel data structures and the invariants of kernel algorithms. These tests can be expensive, so are not compiled in by default, but help provide useful "fail stop" behavior, in which certain classes of undesired behavior enter the debugger before kernel data corruption occurs, making them easier to debug.
обязательная опция для сборки HardenedBSD.
Потому что Linux - не де Раадтом деланный.
> А смысл? Там нет уязвимостей в ядре.Особенно в вон том халтурном вайргаде от гангстера Маси. Или в вон той виртуализации от опенбсдшников.
В OpenBSD вроде есть
В составе монолитного ядра как и многие другие патчи вроде планировщика ставить стоит. Стандартные ядра это для девочек ссущихся от вероятности не абсолютро стабильнохй работы.
Чемпионат по обфускации ядра
http://git.altlinux.org/tasks/archive/done/_263/270067/logs/...
> через pull requests на GitHubК слову, иных штатных способов законтрибьютить в этот проект не очень предусмотрено.
есть личная почта разработчиков и даже целый мейллист, можешь писать туда. думаю, грамотный контрибьюшон не проигнорят.
> есть личная почта разработчиковЯ писал на "личную почту" Адама. Пришёл отлуп, что такого поштового сервера не существует.
Это очень странно. Я без проблем с ним переписываюсь по тому адресу, что указан в git commit'ах и что он использует в lkrg-users.
Похоже, я что-то путаю. Ага, нашёл письмо, проблема была на моей стороне:Message rejected due to: SPF fail - not authorized
> Добавлена возможность сборки LKRG не только как внешнего модуля, но и в составе дерева ядра Linux, в том числе его включения в образ ядра;
> Борисом Лукашевым была добавлена возможность сборки в составе дерева ядра LinuxБлагодарствую.
Идея хорошая, но реализация какой-то зашквар. Не майнлайновое и еще аврорами бряцает, с trustzone. Небось еще и с блоботой которой надо на слово верить?
В LKRG никаких блобов нет. Насчет Авроры, они одни из проявивших интерес к проекту. Вот, написали статью на русском. Я решил, что здешнему сообществу это будет интересно - и, в каком-то смысле, оказался прав. С нами - авторами LKRG - они пока что абсолютно никак не взаимодействовали. Об их публикации на Хабре мы узнали случайно. Что они реально сделали или собираются сделать, мы не знаем. Может, всё так и останется на словах - что-то вроде "вот как можно было бы сделать" - а может, они реализуют описанное. Не удивлюсь, если у них будет блоб и, возможно, нарушение GPL, что нас не порадует. Буду рад если они выложат код под GPL. Не имею возражений против возможного сотрудничества с ними, как и с большинством других проектов и компаний, если такой интерес будет и злоупотреблений не будет. Насчет "не майнлайновое", тому есть причины, в том числе концепция security through diversity и несоответствие стиля кода (это хотим исправить в любом случае). TrustZone сам по себе не плох и вполне может быть использован на благо. Адам с самого начала проекта рассматривал возможный вынос LKRG на более привилегированный уровень - в гипервизор, а может быть и в TrustZone - у чего есть свои проблемы, достоинства и недостатки. Это вполне нормальная тема для обсуждения.
Я знаю что есть TrustZone. Просто в него пускают не так уж повместно, особенно в юзеровских девайсах. Откуда и подозрения на зашкварную реализацию с мутноблобами. Пардон если вы к этому отношения не имеете - значит это не к вам вопрос.
> Идея хорошая, но реализация какой-то зашквар.
> Не майнлайновое и еще аврорами бряцаетНе учитесь у гульфикоппозиционфюрера, не сломаете себе направление причинно-следственных связей.
У него по-моему можно многому поучиться. Например, храбрости и готовности за свою точку зрения крепко пострадать. Разительный контраст с флюгерющими на ветру господами, прогибающимися под сиюминутчину. А еще это выглядит сильно выигрышнее фюреров ныкающихся в бункеры.Ну вот так вот бывает, что один половодец из замка других на смерть отправляет. А другой впереди своей армии идет. Такая вот разница. За второго, кстати, помирать как-то сильно менее западло...
>Не учитесь ...Михаил, я то думал Вы умней, очень жаль...
Или все дело в: суббота, солнышко, дача, пивасик?
> Небось еще и с блоботой которой надо на слово верить?
> Код проекта распространяется под лицензией GPLv2.Казалось бы, исходники есть, нет ничего сложного посмотреть и убедиться, что никакая блобота там не принимает участие. Нет, надо построить гипотезу и озвучить её.
А в trustzone? Если кто-то говорит A - пусть скажет и B.
> А в trustzone? Если кто-то говорит A - пусть скажет и B.Проект LKRG не имеет никакого отношения к ARM TrustZone и не использует его. Мысль добавить поддержку ARM TrustZone в LKRG была у разработчиков ОС Аврора, но никакого кода по этому поводу пока не было опубликовано. Даже если в LKRG появится в будущем поддержка, это не ухудшит ситуацию, и будет ручка (не) использовать его.
языки пректа:
C 97.8%
Makefile 1.1%проект здорового человека, а не курильщика-растамана.
модуль ломает загрузку системы, т.к. грузится перед другими модулями и блокирует их вставку в ядро. пришлось убрать его из автозагрузки, и при ребуте ждать полной загрузки системы, а потом уже insmod /path/to/p_lkrg.ko
а так хорошая штука, рекомендую.
Странно. По умолчанию, LKRG не должен блокировать загрузку других модулей. Может быть, вы вручную включили его опцию block_modules (по умолчанию выключена)? В таком случае, включайте ее позже (через sysctl), а модуль загружайте рано.
> Странно. По умолчанию, LKRG не должен блокировать загрузку других модулей. Может быть,
> вы вручную включили его опцию block_modules (по умолчанию выключена)? В таком
> случае, включайте ее позже (через sysctl), а модуль загружайте рано.блин, точно
$ grep lkrg /etc/sysctl.conf
lkrg.timestamp=60
lkrg.block_modules=1
а вот и вышел LKRG 0.9.1 с обновлённым README:
Please note that enabling this setting (too) early (e.g., using the module
parameter or /etc/sysctl.*) may cause the system to fail to complete bootup
(if required modules are still being loaded in later stages of bootup, which
varies between distributions and system configurations).