Linux Kernel運(yùn)行時(shí)安全檢測(cè)之LKRG-實(shí)踐篇

從文章Linux Kernel運(yùn)行時(shí)安全檢測(cè)之LKRG-原理篇可以看到，LKRG可以對(duì)正在運(yùn)行的Linux內(nèi)核進(jìn)行檢測(cè)，并希望能夠及時(shí)響應(yīng)對(duì)正在運(yùn)行的進(jìn)程用戶(hù)id等憑證未經(jīng)授權(quán)的修改(完整性檢查)。對(duì)于進(jìn)程憑據(jù)，LKRG嘗試檢測(cè)漏洞，并在內(nèi)核根據(jù)未經(jīng)授權(quán)的憑據(jù)授予訪問(wèn)權(quán)限(例如打開(kāi)文件)之前采取行動(dòng)。并且是以可加載的內(nèi)核模塊的形式，檢測(cè)正在運(yùn)行的內(nèi)核是否存在更改情況，以表明正在對(duì)其使用某種類(lèi)型的漏洞利用。除此之外，它還可以檢查系統(tǒng)上運(yùn)行的進(jìn)程，以查找對(duì)各種憑證的未經(jīng)授權(quán)修改，以防止這些更改授予額外的訪問(wèn)權(quán)限。