The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимостей в ядре Linux "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимостей в ядре Linux "  +/
Сообщение от opennews (??), 15-Сен-23, 12:31 
Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.7 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59760

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +3 +/
Сообщение от Аноним (1), 15-Сен-23, 12:31 
Надеюсь когда-нибудь я увижу такую же сноску про Раст.

"Об особенностях реализации безопасной работы с памятью в Rust можно прочитать в первом анонсе проекта".

Камень в огород редакции.

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от YetAnotherOnanym (ok), 15-Сен-23, 15:45 
Это к чему было?
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Анонин (?), 15-Сен-23, 16:23 
Скорее всего к повторяющемуся описанию "Безопасная работа с памятью обеспечивается..." из новости в новость про релиз раста. Такое ощущение, что новостедел бере просто тест с предыдущего релиза и заменяет часть текста на новый.
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (2), 15-Сен-23, 12:33 
А что, если эксплоит отключит этот модуль? Да ну, не может быть.
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +7 +/
Сообщение от Серб (ok), 15-Сен-23, 12:41 
Тут кто первый встал - того и тапки.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (23), 16-Сен-23, 06:32 
Мне нравится больше классический подход:
Строгое W^X
Для неизменяемых данных строгое RO

> предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов

Считаю все технологии позволяющие вносить любые изменения в работающие ядро - БЕКДОРОМ!

Все что исполняется никогда не должно изменятся, а что изменяется никогда не должно исполнятся. Это фундамент ИТ ИБ определён математиками в конце 1960-тых и принят как стандарт в 1983г. Нарушать его нельзя.

Все технологии требующие WX надо выкинуть с ядра, системного и прикладного ПО, это самый минимум для ИБ.

А ловить вири, когда те уже ЗАПУСТИЛИСЬ С ПРАВАМИ ЯДРА в системе, неблагодарное занятие.

Еще один аналогичный плохой пример:
eBPF-based Security Observability and Runtime Enforcement solution, named Tetragon,(Isovalent) https://grsecurity.net/tetragone_a_lesson_in_security_fundam...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

24. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (23), 16-Сен-23, 06:48 
Поправлю ссылку: https://grsecurity.net/tetragone_a_lesson_in_security_fundam... и эта не работает. Эта тоже не работает: https://grsecurity.net/blog

Попробуйте так:
По ссылке не переходите, а наберите руками: https://grsecurity.net
Далее в правом вверхнем углу перейдите на BLOG (https://grsecurity.net/blog) мне все статьи с этого блога нравятся, читаю по возможности.
На странице блога от May 24, 2022 есть статья "Tetragone: A Lesson in Security Fundamentals" написанная Pawel Wieczorkiewicz, Brad Spengler (https://grsecurity.net/tetragone_a_lesson_in_security_fundam...)

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (4), 15-Сен-23, 12:45 
От UKSM было бы больше проку.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (17), 15-Сен-23, 19:43 
> This repository has been archived by the owner on Aug 29, 2023. It is now read-only.

Не будет?

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (4), 15-Сен-23, 20:25 
Долго приходилось самостоятельно поддерживать работоспособность и копаться в ядре. Удовольствие не из приятных, учитывая частоту, с которой патчи отваливались. Вот бы кто-нибудь подхватил, отличная вещь была же.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (20), 15-Сен-23, 21:23 
В красивой упаковке передайте Linux Foundation, типа как Мазила свои разработки. ;)
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от swarus (ok), 15-Сен-23, 12:45 
первый антивирус онли Linux на старт, смотрите что популярность творит
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от Аноним (6), 15-Сен-23, 13:13 
А что если в модуле по защите от уязвимостей тоже есть уязвимость 🤔?
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (7), 15-Сен-23, 13:33 
То это не уязвимость, а фича, кого надо фича.
Название смотрим: Openwall > open wall > открой стену.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (4), 15-Сен-23, 13:57 
Или застени пробой.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (15), 15-Сен-23, 17:08 
Где вмятина?
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (9), 15-Сен-23, 14:38 
Вызывает проблемы со звуком на некоторых сочетаниях аудиокарт и процессоров (у меня - двухядерный, на 8ядерном я проблем не слышал, но это не значит, что их не было).

Неплохо бы сделать модуль PipeWire, который будет отключать LKRG во время воспроизведения звука, как временный костыль.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +1 +/
Сообщение от 1 (??), 15-Сен-23, 17:34 
> Неплохо бы сделать модуль PipeWire, который будет отключать LKRG во время воспроизведения звука, как временный костыль.

Подменять его функции и сигналить сиреной в колонки если зловред пытается нарушить структуры ядра.

P.S. Разве Kernel Panic не защищает ядро от нарушения структур ядра ?

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Минона (ok), 15-Сен-23, 22:02 
Паника это следствие каких то нарушений в ядре, а не превентивная мера защиты от них.
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (10), 15-Сен-23, 14:40 
>В usermodehelper в список разрешённых файловых путей добавлен /usr/bin/modprobe, используемый в Arch Linux.

А не проще ли список путей грузить из файла? Если уже есть рут, то терять особо нечего, а если рута нет - то файл особо и не модифицировать (ну разве что грязной коровой).

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (22), 15-Сен-23, 23:55 
А если файл недоступен, что делать? А если доступен, но неправильного формата? А если прочиталась только половина файла? А если… Короче, такие вещи лучше захардкодить сразу, чем потом ифать каждый угол. Динамическая конфигурация сама по себе дыра в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  –1 +/
Сообщение от Аноним (31), 16-Сен-23, 20:46 
>А если
>Короче, такие вещи лучше захардкодить

А если захардкодишь неверно? А если во рту грибы выросли?

>А если файл недоступен, что делать?

Отключать эту защиту, писать в dmesg.

>А если доступен, но неправильного формата?

Отключать эту защиту, писать в dmesg.

>А если прочиталась только половина файла?

Если ошибка чтения - отключать эту защиту, писать в dmesg.
Если нет ошибки чтения - применять все прочитанные пути, включать защиту. Если у тебя сбойный диск - то ты не можешь гарантировать, что сам модуль ядра и вообще сам бинарь ядра верно прочитан. В таких условиях все гарантии аннулированны и ты вообще должен сказать спасибо, что у тебя хоть что-то работает.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (14), 15-Сен-23, 16:58 
Как это установить в мой дебиан?
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (27), 16-Сен-23, 13:34 
https://www.kicksecure.com/wiki/Linux_Kernel_Runtime_Guard_LKRG
https://github.com/lkrg-org/lkrg?ysclid=lmm2jjqj3p363822167
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (27), 16-Сен-23, 15:19 
Сдается мне, что установить не самое главное.
Тут важно, как правильно приготовить и как его есть
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

30. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (27), 16-Сен-23, 15:47 

$ apt search lkrg
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (17), 15-Сен-23, 19:45 
А чего в само ядро не берут его?
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Пряник (?), 18-Сен-23, 12:03 
Вопрос времени. Другой вопрос: почему не использовать AppArmor, SELinux?
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (27), 16-Сен-23, 13:20 
Kernel Self Protection Settings

Whonix uses strong Kernel Hardening Settings as recommended by the Kernel Self Protection Project (KSPP).

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимос..."  +/
Сообщение от Аноним (27), 16-Сен-23, 13:22 
https://github.com/Kicksecure/security-misc
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру