开源最前线（ID：OpenSourceTop） 猿妹 编译

素材来自：https://www.bleepingcomputer.com/news/linux/lkrg-linux-to-get-a-loadable-kernel-module-for-runtime-integrity-checking/

OpenWall 近期开源了一个新的内核防护项目 LKRG（全称为 Linux Kernel Runtime Guard），这是一个可加载的核心模块，可用来检查 Linux 内核的运行完整性，并侦测针对该内核的攻击。

LKRG 简介

LKRG 是一个内核模块而非补丁，可用于主流的 Linux 发行版本中，主要有两大功能。一是在 Linux 系统中开发扩展功能时实施各种规定，以避免那些不被 Linux 内核支持的更改；另外一个则是侦测针对内核的攻击，例如当内核要根据未授权的凭证赋予读取权限时加以拦截。

2011年开发，如今首个版本发布

由于该项目正处于早期的发展阶段，LKRG 目的前版本只会通过内核信息报告内核完整性违规情况，随着系统的成熟，日后将会部署一套完整的利用缓解系统。

LKRG 项目的始于 2011 年，据 LKRG 成员 Alexander Peslyak 介绍称，LKRG 已经经历了一个“重新发展”阶段。

如今，LKRG -LKRG v0.0 的第一个公开版本已经可以下载。Wiki 也可以在这里找到，还设置了支持该项目的一个 Patreon 页面。（下载地址：http://www.openwall.com/lkrg/）

虽然 LKRG 是一个开源项目，但维护人员计划团队计划使用 LKRG Pro 的资金为 LKRG 构建和支持检测某些利用如容器逃逸的 LKRG Pro 版本。

LKRG 是内核模块而非补丁

LKRG 还借用了 Additional Kernel Observer (AKO) 的一些理念，但 AKO 与 LKRG 不一样的是，LKRG 是内核加载模块，而不是补丁。LKRG 团队选择创建一个内核模块，因为修补内核对安全性，系统稳定性和性能有直接的影响。

通过提供一个内核模块，这使得 LKRG 更容易部署在每个系统的基础上，而不必修改核心内核代码，这是一个非常复杂和容易出错的过程。

LKRG 内核模块目前可用于主要 Linux 发行版，如 RHEL7，OpenVZ 7，Virtuozzo 7 和Ubuntu 16.04 到最新的主流版本。

LKRG 还不是完美的解决方案

但是 LKRG 的开发者表示：目前 LKRG 还不是无懈可击的，并不能保证100％安全。

虽然 LKRG 击败了许多先前存在的 Linux 内核漏洞攻击，并且可能会打败许多并非专门尝试绕过 LKRG 的功能利用（包括未知的漏洞），但它可以通过设计绕开（虽然有时会牺牲更大的代价）。因此，可以说 LKRG 通过多样性提供了安全，就像运行一个不常见的操作系统内核一样。

LKRG 类似基于 Windows 的防病毒软件，它也可以在内核级别来检测漏洞和恶意软件。尽管如此，LKRG 团队表示，他们的产品比杀毒软件和其他终端安全软件要安全得多，因为它的代码库小，因此在内核级引入新的漏洞的可能性更小。

目前的LKRG版本导致性能下降6.5%

研究人员 Peslyak 表示，LKRG 最适合在内核安全 bug 补救之后无法正确重启的Linux系统。LKRG 能让机主者继续运行设备直到对关键漏洞的补丁完成测试和部署。

测试显示，安装 LKRG v0.0 会导致性能下降 6.5%，但 Peslyak 表示，随着版本不断更新发展，带给性能的影响也会越来越小。

测试还显示，LKRG 检测到 CVE-2014-9322（BadIRET），CVE-2017-5123（waitid（2）缺少access_ok） 和 CVE-2017-6074（在 DCCP 协议中的使用后释放漏洞），但未能检测到 CVE-2016-5195（脏牛漏洞）。该团队说，这可能是由于前面提到的“绕过设计”策略导致。

目前还有待观察这类利用是否变得常见，它会对内核漏洞（无需直接针对用户空间且可能并不直接的漏洞）的可用性带来什么（可能是负面的）影响。

●本文编号167，以后想阅读这篇文章直接输入167即可

●输入m获取文章目录