Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.4 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57544
Существует ли модуль для эксплуатации уязвимостей? Больше уязвимостей хороших и разных. Лучше конечно когда в пропритетарных поделках типа фряхи, но линуксовые тоже нужное дело.
> Существует ли модуль для эксплуатации уязвимостей?eBPF и путаны с вокзала будут завидовать ваше проходимости.
Это не то, как он поможет сканировать ядро? Интерес имея права найти уязвимости для системы где прав нет.
Syzkaller тебе в руки. Правда Syzbot тоже им пользоваться умеет, да еще репортит баги и бисектит до проблемного комита. Но это не значит что его нельзя обштопать в каком-то закоулке.Еще можно обратить внимание на namespaces. Идея хорошая, но т.к. кишки ядра никогда для этого не создавались, усы иногда отклеиваются.
Какие бл уязвимости, ebpf - это скриптовый ассемблер внутри ядра. Чо нужно то и пихай. Если осилишь
Вот и я не понял, каким местом ты думал, когда полез в разговор со своим bpf. Я конечно знаю только как bpftrace использовать, но вряд ли он тут поможет.
Сделали бы уж сразу полноценный internet security или total protection,а то всё стесняются. D
Runtime Guard тоже звучит!
Слишком мокрописечно звучит. Словно возврат в 2006й, где на варезниках очень любили такой громкий софт и рисовать им коробочки.Сейчас в тренде другое. Ждем:
- Rust(tm) Memory Safety Kernel (RMSk). Проверяет всех боровов в рантайме, ядро работает на 90% медленнее, против несогласных уже собрана айнзац-команда из кортим.
- Русская Блокада для Linux. Сертифицировано ФСТЭК, одобрено ФСБ и лично Темнейшим, доступно только нескольких странах.
- Kaspersky eBPF Module. Блокирует все и всех, кроме выделенной уязвимости для ФСБ. Во время подключения тов.майора вешает сисему намертво, по окончании сеанса показывает рекомендации тов.майора всем юзерам.
- Total CVE Awareness. Аналогично модулю выше, но только для ЦРУ и АНБ. Но с функцией автоматической перлюстрации всех входящих файлов.
А где Золотой Щит Совершенномудрого Правителя ?? Эклетично совмещающий функции двух последних с автоматическим выписыванием штрафов через wechat ??
А поддерживается функция автоотправки повесток сразу_в_тюрьму( ведь система уже решила что виноват, какие-то доводы адвокатов уже бессмысленны ) через вичат с отметкой о получении и прочтении, юридически полностью аналогичных бумажным ?
Нет. Пока реализована только функция отмены тебя и всего что ты сделал.
Самое время прикрутить управление автоматическими туррелями. Функция отмены и экономия бумаги для повесток. Удобно и эффективно.
И зачем тут OpenRC? Я люблю SystemD, и хочу, чтобы только он у меня и был!// b.
...золотая рыбка удивилась такому желанию, но все же выполнила...
> от эксплоитов уже известных уязвимостей ядра Linux
> (например, в ситуациях когда в системе проблематично обновить ядро),...
> Модуль ядра переименован из p_lkrg в lkrg.Ядро проблематично обновить, а модуль собрать и грузануть непроблематично?
>так и для противостояния эксплоитам для ещё неизвестных уязвимостей.
/dev/vanga ?
Не совсем. Оно пытается обнаруживать и парировать попытки эксплойтирования ядра. Конечно, лучше если у тебя лодка без пробоины. Но если вдруг так получилось, плошка для вычерпывания воды или даже автоматическая помпа окажутся очень кстати по сравнению с перспективой уйти на дно.
А если в новой версии ядра вместе с исправлениями поломали что-то важное?
проблемы индейцнв шерифа не волнуют. Твоя видеокарта обязаны быть такой же, как у Линуса лично. Иначе на сломанный видеодрайвер будет всем пофиг.
Впрочем на винде на сломанный видеодрайвер и так всем пофиг. Сломался - иди поддерживаемую карту покупай.
Ну свой цирозложик 94го года выпуска уже по любому можешь выбросить и з@к0пать где-нибудь на свалке особо опасных отходов.Мои вот нвидии нулевых годов - работают, ничего в них не "ломается". Разумеется, это не потому что stable api nonsense - в какой-то другой системе.
И D2700 тоже работает, а не "intel никогда не выпускала такой драйвер"(c)индусская харя.
Ага, именно поэтому маздай на карту менее чем DX10 не ставится. А линуху похрен, он и семейство радеонов типа R300 жрет, и прочие GF2 MX если кого на некромансию потянуло. Ютуб смотреть с FPS в цать раз быстрее VESA все же хватит. А в винде оно "стандартный VGA адаптер" с этим их stable api blah-doh.Собственно было аргументом для всяких сельских морд за линух. Можно решить трабл совершенно бесплатно и без беготни а от компа им ничего кроме браузинга, чатиков и немного ютуба и не надо. Ща блин нищие сельские училы под это геймерские видяхи пойдут покупать, аж два раза.
> Ага, именно поэтому маздай на карту менее чем DX10 не ставится.Ну так может проблема именно в DX? Потому что вон жужжит вентилятором адская нвидевая е6-нина чья молодость совпала, наверное, с рождением XP SP2. Т.е. эта древность поддерживалась лет пятнадцать, куда уже больше? Она бы померла бы давно, если бы использовалась.
> Собственно было аргументом для всяких сельских морд за линух. Можно решить трабл совершенно
> бесплатно и без беготнипока не напарываешься на D2700, и у тебя "стандартный VGA адаптер, только еще и с глюками в виде мертвого повисания". А на вендепоганой - гляди-ка, аппаратный декодинг того ютрупа. Ну да, десятка уже вроде не поддерживает, но опять же это плата 12го года, причем низкопотребляющая т.е. маломощная уже по тогдашним меркам, только-только на такие задачи ее уже тогда хватало, когда она была новой.
> Ща блин нищие сельские училы под это геймерские видяхи пойдут покупать, аж два раза.
Китайские ноуты они пойдут покупать. https://aliexpress.ru/item/1005004550219379.html
Вполне работающая херня, между прочим. Венду кетайскую только не советую пытаться переставлять - драйверов не найдешь.И такого гуана - полный холодильник (вот с теми, где можно "просто плевать в экран" сложнее стало).
Ну кому надо при этом тратить время и силы на твою доисторическую видимокарту, непохожую ни на что другое?
> Ну так может проблема именно в DX?Проблема в том что дров под новые винды для этих видях ну вот тупо нет. В системных требованиях винды 7 тупо написали DX10+ видеокарта. Если у вас не оно - значит это будет "стандартный VGA адаптер".
Майки в районе модель видеодров сменили - заодно, вот, и поддержку старого железа крупным оптом задропали. А линух что, заводит эти древности с полоборота и уж как минимум отрисовка 2D в "нативном" режиме видяхи таки работает сильно быстрее чем через уродства типа VESA. Разиков так в 10 быстрее. VESA вообще фулскрин видео на 1280х1024 в винде рисует как тупо слайдшоу. А в линухе в нативном режиме видях спокойно прорисовывает с FPS монитора. Почувствуйте разницу.
> Потому что вон жужжит вентилятором адская нвидевая е6-нина чья молодость совпала,
> наверное, с рождением XP SP2. Т.е. эта древность поддерживалась лет пятнадцать,
> куда уже больше? Она бы померла бы давно, если бы использовалась.А я таки знавал несколько сельских некромансеров с радиками и нвидиями типа вон того. Они и полюбили пингвина, ибо икспа это круто но под нее софт фиг найдешь, виста никуда не годится, семерка - ну, там "стандартный VGA адаптер" и целые полтора кадра в секунду на фулскрине с него, соответственно. А линуху вот похрен, до сих пор распоследний дебиан заводит такой антик.
Ах да! Там еще ffmpeg и vlc из репок ставятся. Даже на ископаемые без SSE2. И это все потом даже еще и работает, прикинь?! А теперь попробуй вообще такой номер под твоим stable api nonsense провернуть, узнаешь в чем прикол. Да, ты правильно понял: софт обычно или дохнет с illegal instruction (тот самый SSE2) или еще какая лабуда - и вообще задолбаешься софт подбирать. Даже типа-32-битный, блабла. А самому vlc или ffmpeg под маздай собирать все ж отчаянный мазохизм. В линуксе то поставил галочек на либы пакетнику и порядок, а в винде... ага...
В линухе это как-то осмысленнее: x86-32 считается вотчиной легаси и совместимости, а продвинутости на 64 битах. Это логично и никого не нагибает. А виндовые кодеры - ну, это виндовые кодеры, они бессмысленные и беспощадные.
> А если в новой версии ядра вместе с исправлениями поломали что-то важное?Тогда баг напиши. Или хренли предлагается, некромансить с ископаемыми ядрами, остановив время? Хреновое решение.
>> А если в новой версии ядра вместе с исправлениями поломали что-то важное?
> Тогда баг напиши. Или хренли предлагается, некромансить с ископаемыми ядрами, остановив
> время? Хреновое решение.stable nonsense, угу, очень хорошее решение.
Поэтому 3% дрисктопов да и те на проверку дуалбутные.
> stable nonsense, угу, очень хорошее решение.Worksforme. Во всяком случае, если что-то идет не так - очень круто когда под боком есть именно линуксный кернел тим а не толпа раджей из первой линии саппорта, предлагающих почистить мышку по стандартной инструкции для даунов.
> Поэтому 3% дрисктопов да и те на проверку дуалбутные.
Negative on that. У меня вообще виндов нет вокруг. Это даже проблема до некоторой степени, ибо я вывесил весьма забавную, скажем так, абстракцию, линух ее хавает, а вот схавает ли и винда я даже и не знаю.
Перезагружать нужно, а сервер может не запуститься
А тут перезагружать не нужно
Ну так се эксперименты... на боевом серваке-то.
>LKRG packages exist in ALT Linux, Arch Linux, Astra Linux, Gentoo, Whonix, and Yocto (and thus also OpenBMC). Whonix's packaging is also usable for Debian and its other derived distributions (including Ubuntu).Прямо список хороших, годных дистрибутивов получился.
Вопросы Солару - почему в списке нет Openwall? и в чём сходства и различия от PAC?
LKRG не включен в Openwall GNU/*/Linux (Owl) хотя бы потому что на момент выпуска LKRG в 2018 году (а тем более сейчас) проект Owl уже был фактически заморожен. Технически же, LKRG поддерживает ветки ядер начиная с имеющихся в RHEL7, тогда как в Owl использовалась ветка на основе RHEL5. Что такое PAC не знаю.
Понятно, спасибо.>Что такое PAC не знаю.
PaX который, я опечатался. https://en.wikipedia.org/wiki/Executable_space_protection#PaX
> Модуль ядра переименован из p_lkrg в lkrg."stable api nonsense" as is :D
а зачем вы делаете уязвимости в ядре Linux?