Проект Openwall опубликовал модуль ядра LKRG 1.0.0 (Linux Kernel Runtime Guard), предназначенный для проверки целостности структур ядра и выявления попыток эксплуатации уязвимостей в ядре. Отмечается, что присвоение номера версии 1.0.0 ознаменовало достижение проектом зрелого состояния. Код проекта распространяется под лицензией GPLv2...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63827

• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 09:07 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 09:12 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Жироватт, 09:26 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 09:46 , 05-Сен-25
      • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 10:19 , 05-Сен-25
        • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:36 , 05-Сен-25
          • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Big Robert TheTables, 12:37 , 05-Сен-25
          • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 13:15 , 05-Сен-25
            • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 14:31 , 05-Сен-25
      • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Анон666, 19:57 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 09:46 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 13:03 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 14:00 , 05-Сен-25
      • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Анон666, 20:35 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 14:32 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 16:44 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,60260, 09:52 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,mfa, 11:07 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,IdeaFix, 15:38 , 05-Сен-25
      • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 17:22 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 15:01 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 19:08 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 09:24 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 19:09 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 10:14 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,jura12, 10:24 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:02 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:12 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:42 , 05-Сен-25
      • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,r2d0, 12:03 , 05-Сен-25
        • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 13:05 , 05-Сен-25
          • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 13:51 , 05-Сен-25
          • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 17:18 , 05-Сен-25
        • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Юрий, 18:25 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:48 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:08 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 11:13 , 05-Сен-25
    • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 15:32 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,SKZ, 12:04 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 12:27 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,OpenEcho, 19:26 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 13:41 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,ИмяХ, 14:35 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 15:34 , 05-Сен-25
  • Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,Аноним, 15:42 , 05-Сен-25
• Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в я...,localhostadmin, 19:17 , 05-Сен-25

сертификат фстек есть?

Идея бредовая. Чтобы защитить квартиру, надо ставить железную дверь, а не датчик прохода через пустой дверной проем. Тем более, что датчик работает не всегда, а только по событиям вроде "слышу чей-то топот, напоминающий топот воров".

Бытовые аналогии тем и плохи, что не описывают ничего.

В новости все описано: сабж не защищает, а только фиксирует взлом. И работает он не всегда, а только по некоторым событиям. Это самый бредовый способ из всех. Навеяло вантузом и его антивирусами, которые с "проактивной усиленной защитой".

> В новости все описано: сабж не защищает, а только фиксирует взлом.

В новости все описано - эксплойт прибивается при попытке получения повышенных привилегий.
То есть сабж защищает. Не на 100%, конечно, но так и не бывает.

> эксплойт прибивается при попытке получения повышенных привилегий

Эксплоит НЕ прибивается, читай внимательнее: аффтар сабжа посчитал, что эксплоит ВСЕГДА пользуется сисколами вроде fork, exit etc. Это не так. Далее, допустим эксплоит вызвал такой сискол и изменил память ядра. Сабж просто _зафиксирует_, что такое изменение произошло, залогирует куда-нибудь пост-фактум и попытается завершить ОДИН ИЗ пидов эксплоита. Тот самый пид, который и вызвал сискол. Другие остаются в целости и сохранности! Я ж говорю: вантузомышление. Буду удивлен, если сабж сумеет предотвратить хотя бы 0.1% от всех атак на ядро. Правильная защита -- не пассивное наблюдение за памятью (за пустым дверным проемом без двери), а активная изоляция всего подряд (собственно установка двери).

Вот серьезно. Поди к своему завцеха и скажи: "а давайте вместо того, чтобы не пускать в здание по неверному ключу -- мы просто ВПУСТИМ и залогируем ошибочность ключа. Но ВПУСТИМ.".

для более точной аналогии надо добавить электрошокер или газовую камеру в предбаннике.

> Это не так

дополнит. Автор добавил проверку по таймеру на случай если не угадал с сисколами

> Сабж просто _зафиксирует_, что такое изменение произошло, залогирует куда-нибудь пост-фактум и попытается завершить ОДИН ИЗ пидов эксплоита.

у сабжа три возможных реакции. Паника гарантированно остановит эксплоит

> Правильная защита -- не пассивное наблюдение за памятью

активно следим за списком сисколов — неправильный список, пассивно сканируем по таймеру — пассивно вообще не надо, угу

> а активная изоляция всего подряд

какие накладные расходы будут?

паника все остановит, еще можно много паники накидать по таймеру, вдруг атак больше чем одна.

Сразу видно непрофессионала подкроватного админа) Вместо четкой и строгой конкретики по технике - гнилые аналогии с борщом и тефтелями. Вы думаете вы так классно косите под инженеров, а мы вас таких поросят каждый день видим на работе)

И хороши тем, что можно не разбираться в вопросе, но выглядеть экспертом.

Аналогии по определению*

> Бытовые аналогии тем и плохи, что не описывают ничего.

Господи, и этому комментарию наставили плюсиков. 🤦

Нет, дружок, его аналогия с вошедшим в отрытую дверь вором буквально описывает суть действия сабжа. Прямо с официального сайта:

"LKRG attempts to post-detect and hopefully promptly respond to unauthorized modifications to the running Linux kernel"

Дружки у тебя в твоём клубе остались) Инженеры аналогиями не пользуются, если тебе не сказали (а в техническом вузе это говорят примерно на 2 курсе), а пользуются выкладками и принципом достаточного основания. Аналогиями пользуются гуманитарии, косящие под инженеров, которые не знают, что доказательство по аналогии доказательством не является, а является мошенничеством. За которое бьют канделябром.

Наконец-то хоть кто-то обратил на это внимание. А то постоянно тут софт/ядра сранвают с автомобилями запорожец и порше, личный опыт колоноскопии, сортир в виде дырки на улице и т.д.

> Бытовые аналогии тем и плохи, что не описывают ничего.

когда твоя "умна дверь" будет открываться по команде "откройте милиция", тогда "описывать" все будет следак, при понятых конечно же :)

тоже бредовая идея, не дверь а пулемет максима ставить на вход и перед всеми окнами. сто процентов гарантия!

"сто процентов гарантия"
Не против ручной гранаты, домашнего огнемёта, бодрящих газов...

Во многих странах настороженное оружие запрещено. В этой тоже кстати.

Защищаться - нельзя, можно только логировать проникновение.

В бытовых аналогиях, любая железная дверь выпиливается плазморезом или бензорезом большой мощности, за считанные минуты.
Когда воры знают, что вызова не будет или по вызову никто не приедет, они спокойно заходят, стреляют собак, людей, решетки с окон вырывают машиной, двери ваши железные вместе с коробками вырывают ломами.

А вызова не будет потому, что «мусорнуться» — харам. Культура такая…

Впрочем, ни к сабжу, ни к ядру это не имеет никакого отношения. LKRG хорош тем, что защищает от примитивных атак, а для сложных в ядре может просто не оказаться гаджетов. Да, так тоже бывает. Упс.

Жалко у rsbac супер хреново с документацией. Кажется, что самая лучшая модель защиты на стероидных плагинах. Особенно, на фоне selinux, которым поговаривают легко прострелить себе же ногу кривой настройкой.
Если кто знает хорошую доку по rsbac - киньте пожалуйста.

Для тех, кто при помощи SELinux может себе ногу прострелить комикс нарисовали. Но видимо всё ещё сложно. Агукать по-моему ещё не пробовали, надо подкинуть идею.

Убунта обновится не может.

ставил его предыдущие версии. после срабатывания компьютер загрузиться не может.

Вот что бывает когда ядро дырявое by design.
Приходится писать костылики, чтобы узнать что тебя взломали.
Которые так не хило жрут проц.

> Вот что бывает когда ядро дырявое by design

А недырявых ядер у нас нет, сори.

Зато микроядра есть, у QNX например.

И где тот QNX сейчас?

>  И где тот QNX сейчас?

С огромной вероятностью в рентгене, КТ, МРТ, другом мед оборудовании.
А так же везде где нужна реальная надежность, а не то, что может предоставить линукс.
Поищи QNX for medical devices.

> А так же везде где нужна реальная надежность, а не то, что может предоставить линукс

Очередной гений сравивает RTOS с системой общего назначения (а в контексте новости - в первую очередь корпоративно-серверного).

Да, но нужно искать в проспектах 20-летней давности.

Более 215 млн автомобилей в мире (по данным BlackBerry на 2023 год) содержат компоненты QNX.

> А недырявых ядер у нас нет, сори.

seL4, формально верифицированное к тому же.
QNX как уже сказали выше.

не дебиан не ставится, E: Невозможно найти пакет lkrg-dkms

> не дебиан не ставится, E: Невозможно найти пакет lkrg-dkms

А зачем для дебиана вообще какая-то защита от уязвимостей?
Там и так протухшие пакеты, а которых все экплойты не исправлены, зато записаны!

на дебиане из-за протухших пакетов ни одна из уязвимостей не работает...

Надо бы это, конечно, по-другому делать. Микроядро-гипервизор и под ним уже все остальное - собственно, так L4Linux сделан.

https://a13xp0p0v.github.io/2021/08/25/lkrg-bypass.html

Все же бороться нужно с проблемами, а не со следствием. Если есть возможность исполнить какой-то левак в ядре, то шансов тут немного.

> Все же бороться нужно с проблемами, а не со следствием.

Это для случаев в здоровой логике, для простых смертных - не работает, им нужно кучу пугалок о найденых вирусах и святой веры в наилучшее решение, потому как и васи и пети и всех их знакомых так именно и сделанно

loading out-of-tree module taints kernel.

>>прекращён перехват удалённых вызовов override_creds() и revert_creds(), что ограничило выявление атак, переопределяющих указатель cred. Ограничения попытались компенсировать

Уже откровенно бэкдоры делают и не стесняютя.

Ядро линпуса умеет запустать произвольный код через eBPF и эта "фича" не отключается. Твой ход, модуль защиты.

Для загрузки своего кода в eBPF нужны права root.

А разве этим не разрабы линукса должны?