Linux Kernel

Linux Kernel運(yùn)行時安全檢測之LKRG-實(shí)踐篇

從文章Linux Kernel運(yùn)行時安全檢測之LKRG-原理篇可以看到，LKRG可以對正在運(yùn)行的Linux內(nèi)核進(jìn)行檢測，并希望能夠及時響應(yīng)對正在運(yùn)行的進(jìn)程用戶id等憑證未經(jīng)授權(quán)的修改(完整性檢查)。對于進(jìn)程憑據(jù)，LKRG嘗試檢測漏洞，并在內(nèi)核根據(jù)未經(jīng)授權(quán)的憑據(jù)授予訪問權(quán)限(例如打開文件)之前采取行動。并且是以可加載的內(nèi)核模塊的形式，檢測正在運(yùn)行的內(nèi)核是否存在更改情況，以表明正在對其使用某種類型的漏洞利用。除此之外，它還可以檢查系統(tǒng)上運(yùn)行的進(jìn)程，以查找對各種憑證的未經(jīng)授權(quán)修改，以防止這些更改授予額外的訪問權(quán)限。