https://slinkov.ru/openforum/vsluhforumID3/126297.html Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.2 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56430<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#112 Sat, 08 Jan 2022 14:11:56 GMT &gt;&gt; Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.<br>&gt; Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся <br>&gt; проникновении. Уже по факту!<br><br>"Проверка контекста состоит из двух этапов: сперва проверка структуры самого контекста, которая происходит на DPC-уровне, затем планируется work item, осуществляющий проверку защищаемых структур в системном потоке. Если проверка была удачной, старый контекст удаляется и вместо него создается новый, который будет запущен через случайный интервал времени. Если проверка не удалась, PatchGuard зачищает все свои следы, в том числе зануляя стек, и демонстрирует синий экран с кодом ошибки 0x109: CRITICAL_STRUCTURE_CORRUPTION."<br><br>Сообщите своё мнение в Микрософт.<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#111 Mon, 03 Jan 2022 07:49:12 GMT Лишь бы на rust не писать.<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#109 Mon, 03 Jan 2022 03:11:52 GMT &gt;В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.<br><br>Вантуз-это не Linux и с этим очень трудно спорить...<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#107 Sat, 01 Jan 2022 11:21:50 GMT &gt; Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся <br>&gt; проникновении. Уже по факту!<br><br>Если при этом логика сплойта отвалится - не так уж и страшно, ведь свою цель он не достигнет. А откатить систему ... много времени не займет.<br><br>&gt; Аноним прогнулся и упал, глядя из-под Qubes на твой героический пердолинг.<br><br>Ну, это что-то типа него по смыслу, просто самопальный вариант, мне просто нравится если атакующие влопавшись на нечто нестандартное лоханутся.<br><br>&gt; В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, <br><br>У меня тоже.<br><br>&gt; ибо интеграция.<br><br>Это тот случай про который говорят "бессмысленно и беспощадно". Даже если изначальная идея имела некий пойнт. Ну то-есть как теоретический аспект что так можно - да. Как практический - ээ... какие там кейлоггеры и мс онлайн аккаунты надо выколупать грите? Или хли толку в такой системе от этой их безопасТности? Зачем мне безопасность мерзкософта от меня? :)<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#106 Sat, 01 Jan 2022 11:16:15 GMT Как интересно, про kptr я оказывается и до этой новости додумался, но спасибо что напомнили, перепроверил...<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#105 Sat, 01 Jan 2022 11:13:55 GMT Я просто думал что переход на DRM/KMS и сопутствующее изменение всех системных парадигм и layering, когда иксы более не центр вселенной а всего лишь 1 клиентик к той подсистеме, довольно паршивенький, который вообще-то хотят прибить - значительно более крупная проблема/изменение чем какие-то 2 либы в иксах.<br><br>Понимаете, в линухе хорг уже довольно близок к стадии когда его отправят на покой. Это причастные не скрывают. На федористах это уже обкатывают во всю. А больше хорг никто майнтайнить и не может, что и где бы они там не вещали, гонором на форуме факапы не починишь...<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#103 Fri, 31 Dec 2021 12:49:42 GMT До всяких постов у нас с Александром Поповым была дискуссия в личной переписке. А публичный ответ вот: https://www.openwall.com/lists/lkrg-users/2021/08/26/3<br><br>Пока что для защиты от этого обхода можно использовать lkrg.hide=1 или/и kernel.kptr_restrict=2<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#101 Fri, 31 Dec 2021 10:46:42 GMT &gt; Это в каком-то роде фича. Чем неожиданнее для атакующего, тем выше шанс что он обломается.<br><br>Да костыль это, костыль. Ибо не защищает, а оповещает об уже свершившемся проникновении. Уже по факту!<br><br>&gt; Сейчас нам аноним расскажет...<br>&gt; ...<br>&gt; (глядя на кучку виртуалок, user mode linux, контейнеры и проч) вообще так и без вантузов можно...<br><br>Аноним прогнулся и упал, глядя из-под Qubes на твой героический пердолинг.<br><br>В Вантузах все эти секьюрности не приводят к дикой просадке по производительности, ибо интеграция.<br> https://slinkov.ru/openforum/vsluhforumID3/126297.html#99 Fri, 31 Dec 2021 07:55:40 GMT В финальной версии ядра каждая строчка кода будет в отдельной изоляции?<br>