[[222910]]

開源社區(qū)的人們正在致力于一個 Linux 內(nèi)核的新項(xiàng)目，它可以讓內(nèi)核更安全。命名為 Linux 內(nèi)核運(yùn)行時(shí)防護(hù)（Linux Kernel Runtime Guard）（LKRG），它是一個在 Linux 內(nèi)核執(zhí)行運(yùn)行時(shí)完整性檢查的可加載內(nèi)核模塊（LKM）。

它的用途是檢測對 Linux 內(nèi)核的已知的或未知的安全漏洞利用企圖，以及去阻止這種攻擊企圖。

LKRG 也可以檢測正在運(yùn)行的進(jìn)程的提權(quán)行為，在漏洞利用代碼運(yùn)行之前殺掉這個運(yùn)行進(jìn)程。

這個項(xiàng)目開發(fā)始于 2011 年，首個版本已經(jīng)發(fā)布

因?yàn)檫@個項(xiàng)目開發(fā)的較早，LKRG 的當(dāng)前版本僅僅是通過內(nèi)核消息去報(bào)告違反內(nèi)核完整性的行為，但是隨著這個項(xiàng)目的成熟，將會部署一個完整的漏洞利用緩減系統(tǒng)。

LKRG 的成員 Alexander Peslyak 解釋說，這個項(xiàng)目從 2011 年啟動，并且 LKRG 已經(jīng)經(jīng)歷了一個“重新開發(fā)"階段。

LKRG 的首個公開版本是 LKRG v0.0，它現(xiàn)在可以從 這個頁面 下載使用。這里 是這個項(xiàng)目的維基，為支持這個項(xiàng)目，它也有一個 Patreon 頁面。

雖然 LKRG 仍然是一個開源項(xiàng)目，LKRG 的維護(hù)者也計(jì)劃做一個 LKRG Pro 版本，這個版本將包含一個專用的 LKRG 發(fā)行版，它將支持對特定漏洞利用的檢測，比如，容器泄漏。開發(fā)團(tuán)隊(duì)計(jì)劃從 LKRG Pro 基金中提取部分資金用于保證項(xiàng)目的剩余工作。

LKRG 是一個內(nèi)核模塊而不是一個補(bǔ)丁。

一個類似的項(xiàng)目是附加內(nèi)核監(jiān)視器Additional Kernel Observer（AKO），但是 LKRG 與 AKO 是不一樣的，因?yàn)?LKRG 是一個內(nèi)核加載模塊而不是一個補(bǔ)丁。LKRG 開發(fā)團(tuán)隊(duì)決定將它設(shè)計(jì)為一個內(nèi)核模塊是因?yàn)椋趦?nèi)核上打補(bǔ)丁對安全性、系統(tǒng)穩(wěn)定性以及性能都有很直接的影響。

而以內(nèi)核模塊的方式提供，可以在每個系統(tǒng)上更容易部署 LKRG，而不必去修改核心的內(nèi)核代碼，修改核心的內(nèi)核代碼非常復(fù)雜并且很容易出錯。

LKRG 內(nèi)核模塊在目前主流的 Linux 發(fā)行版上都可以使用，比如，RHEL7、OpenVZ 7、Virtuozzo 7、以及 Ubuntu 16.04 到最新的主線版本。

它并非是一個完美的解決方案

LKRG 的創(chuàng)建者警告用戶，他們并不認(rèn)為 LKRG 是一個完美的解決方案，它提供不了堅(jiān)不可摧和 100% 的安全。他們說，LKRG 是 “設(shè)計(jì)為可旁通的”，并且僅僅提供了“多元化安全” 的一個方面。

雖然 LKRG 可以防御許多已有的 Linux 內(nèi)核漏洞利用，而且也有可能會防御將來許多的（包括未知的）未特意設(shè)計(jì)去繞過 LKRG 的安全漏洞利用。它是設(shè)計(jì)為可旁通的（盡管有時(shí)候是以更復(fù)雜和/或低可利用為代價(jià)的）。因此，他們說 LKRG 通過多元化提供安全，就像運(yùn)行一個不常見的操作系統(tǒng)內(nèi)核一樣，也就不會有真實(shí)運(yùn)行一個不常見的操作系統(tǒng)的可用性弊端。

LKRG 有點(diǎn)像基于 Windows 的防病毒軟件，它也是工作于內(nèi)核級別去檢測漏洞利用和惡意軟件。但是，LKRG 團(tuán)隊(duì)說，他們的產(chǎn)品比防病毒軟件以及其它終端安全軟件更加安全，因?yàn)樗幕A(chǔ)代碼量比較小，所以在內(nèi)核級別引入新 bug 和漏洞的可能性就更小。

運(yùn)行當(dāng)前版本的 LKRG 大約會帶來 6.5% 的性能損失

Peslyak 說 LKRG 是非常適用于 Linux 機(jī)器的，它在修補(bǔ)內(nèi)核的安全漏洞后不需要重啟動機(jī)器。LKRG 允許用戶持續(xù)運(yùn)行帶有安全措施的機(jī)器，直到在一個計(jì)劃的維護(hù)窗口中測試和部署關(guān)鍵的安全補(bǔ)丁為止。

經(jīng)測試顯示，安裝 LKRG v0.0 后大約會產(chǎn)生 6.5% 性能影響，但是，Peslyak 說將在后續(xù)的開發(fā)中持續(xù)降低這種影響。

測試也顯示，LKRG 檢測到了 CVE-2014-9322 (BadIRET)、CVE-2017-5123 (waitid(2) missing access_ok)、以及 CVE-2017-6074 (use-after-free in DCCP protocol) 的漏洞利用企圖，但是沒有檢測到 CVE-2016-5195 (Dirty COW) 的漏洞利用企圖。開發(fā)團(tuán)隊(duì)說，由于前面提到的“可旁通”的設(shè)計(jì)策略，LKRG 沒有檢測到 Dirty COW 提權(quán)攻擊。

在 Dirty COW 的測試案例中，由于 bug 機(jī)制的原因，使得 LKRG 發(fā)生了 “旁通”，并且這也是一種利用方法，它也是將來類似的以用戶空間為目標(biāo)的繞過 LKRG 的一種方法。這樣的漏洞利用是否會是普通情況（不太可能！除非 LKRG 或者類似機(jī)制的軟件流行起來），以及對它的可用性的（負(fù)面的）影響是什么？（對于那些直接目標(biāo)是用戶空間的內(nèi)核漏洞來說，這不太重要，也并不簡單）。