Desde o mês de setembro do ano passado, havia um “pedido de comentários” inicial do Google em relação ao trabalho do kernel que eles estão fazendo com o KRSI (Kernel Runtime Security Instrumentation). O objetivo é fornecer assistentes de segurança movidos a eBPF. Em última análise, isso serve para criar políticas dinâmicas de MAC e auditoria. Pouco antes do Natal, a primeira versão oficial desta nova instrumentação baseada em eBPF foi enviada e está sendo preparada para implantação no Google. Portanto, a expectativa é de que o KRSI deva estrear em 2020.
A série de patches que propõe o KRSI ao bpf-next explica o plano de fundo e o design da Kernel Runtime Security Instrumentation:
O Google faz uma rica análise dos dados de segurança em tempo de execução coletados das implantações internas do Linux (dispositivos e servidores corporativos) para detectar e impedir ameaças em tempo real. Atualmente, isso é feito em módulos personalizados do kernel, mas gostaríamos de substituí-lo por algo que seja upstream e útil para outras pessoas.
A infraestrutura atual do kernel para fornecer telemetria (Auditoria, Perf etc.) é disjunta da imposição de acesso (ou seja, LSMs). Aumentar as informações fornecidas pela auditoria requer alterações do kernel para auditoria, sua linguagem de políticas e componentes do espaço do usuário. Além disso, a construção de uma política MAC com base nos dados de telemetria recém-adicionados exige alterações em vários LSMs e em seus respectivos idiomas de política.
Esse conjunto de patches propõe um novo LSM empilhável e privilegiado que permite que os ganchos do LSM sejam implementados usando o eBPF. Isso facilita uma política de auditoria e MAC unificada e dinâmica (não exigindo a recompilação do kernel).
KRSI (Kernel Runtime Security Instrumentation) do Google estreia em 2020
A série de patches também descreve como o KRSI é diferente do Landlock LSM e de outros módulos de segurança atualmente disponíveis na árvore do kernel.
Os engenheiros do Google usaram o KRSI para também construir alguns exemplos de usuários para registrar eventos de execução, detectar a exclusão de executáveis ??em funcionamento, gravações na memória do processo e trabalhos relacionados.
O Google começou a implantar essa instrumentação em suas estações de trabalho Linux e espera obter esse código em breve. Assim, dependendo da rapidez com que amadurece, poderíamos ver a Instrumentação de Segurança de Tempo de Execução do Kernel chegando com o ciclo Linux 5.6.
Fonte: Phoronix