Els desenvolupadors de Microsoft van donar a conèixer fa poc informació sobre la introducció de l'mecanisme IPE (Integrity Policy Enforcement), implementat com un mòdul LSM (Linux Security Module) per al nucli de Linux.
El mòdul us permet definir una política d'integritat general per a tot el sistema, Indicant quines operacions són vàlides i de quina manera s'ha de verificar l'autenticitat dels components. Amb IPE, es pot especificar quins arxius executables poden executar i assegurar-se que aquests arxius siguin idèntics a la versió proporcionada per una font fiable. El codi està obert sota la llicència MIT.
El nucli de Linux admet diversos LSM, inclosos SELinux (Linux amb seguretat millorada) i AppArmor entre els més coneguts. Microsoft contribueix a Linux com la base tècnica de diverses iniciatives i aquest nou projecte l'ha nomenat com IPE (Integrity Policy Enforcement).
Això està dissenyat per enfortir la integritat de l'codi per al nucli de Linux, per garantir que «qualsevol codi que s'estigui executant (o arxius que s'estan llegint) sigui idèntic a la versió creada per una font confiança«, va dir Microsoft en GitHub.
IPE té com a objectiu crear sistemes totalment verificables la integritat es verifica des del gestor d'arrencada i el nucli fins als arxius executables finals, la configuració i les descàrregues.
En el cas d'un canvi o substitució de l'arxiu, el IPE pot bloquejar l'operació o registrar el fet de violació d'integritat. El mecanisme proposat es pot usar en el firmware per a dispositius integrats en els quals tot el programari i la configuració són recopilats i proporcionats especialment pel propietari, per exemple, en els centres de dades de Microsoft, IPE s'usa en equips per tallafocs.
Tot i que el nucli de Linux ja té diversos mòduls per a la verificació d'integritat com IMA.
IPE ofereix específicament la verificació en temps d'execució de el codi binari. Microsoft afirma que IPE difereix d'altres LSM en diverses formes que proporcionen verificació d'integritat.
IPE també admet auditories d'èxit. Quan està habilitat, tots els esdeveniments
que passen la política IPE i no estan bloquejats emetran un esdeveniment d'auditoria.
Aquest nou mòdul proposat per Microsoft, no és igual a altres sistemes de verificació d'integritat, com ara IMA. L'interessant d'IPE, és que difereix en diversos aspectes i és independentment de les metadades en el sistema de fitxers, a més de que totes les propietats que determinen la validesa de les operacions s'emmagatzemen directament en el nucli.
Per exemple, IPE no depèn de les metadades de el sistema d'arxius i els atributs que IPE verifica. A més, IPE no implementa cap mecanisme per verificar els arxius de signatura IMA. Això es deu al fet que el nucli de Linux ja té mòduls per al mateix, com dm-Verity.
És a dir que per verificar la integritat de l'contingut de l'arxiu utilitzant hashes criptogràfics, S'utilitzen els mecanismes dm-Verity o fs-Verity que ja hi ha al nucli.
Per analogia amb SELinux, dues maneres d'operació són permissius i obligatoris. En la primera manera, només es realitza un registre de problemes a l'realitzar comprovacions, que, per exemple, es poden utilitzar per a proves preliminars de l'entorn.
«Idealment, un sistema que fa servir IPE no està destinat a l'ús general de l'ordinador i no fa servir la configuració o el programari creat per un tercer», va dir l'editor.
A més el LSM promogut per Microsoft està dissenyat per a casos específics, Com a sistemes integrats, on la seguretat és una prioritat i els administradors de sistema tenen el control total.
Els propietaris de sistema poden crear les seves pròpies polítiques per a verificacions d'integritat i utilitzar signatures integrades de dm-Verity per autenticar codis.
Per concloure, el nou projecte porta un nou mòdul de seguretat de Linux que altres mòduls no poden fer per protegir el sistema de l'execució de codi maliciós.
Finalment si vols conèixer més a l'respecte sobre els detalls d'aquest nou mòdul proposat per desenvolupadors de Microsoft, pots consultar els detalls en el següent enllaç. Es pot verificar el codi font d'aquest mòdul a el següent enllaç.
Microsoft em fa por ...
Microsoft vol comprovar la integritat de l'sistem Linux? Jajajaja. Ha de ser una broma
Linux no necessita a mirdosoft.
Aquesta molt bé tot el seu treball i no el menyspreu, el món Linux no tanca les portes a ningú i tot és bienvenidio si es rema en la mateixa direcció. Peeeeeeeero a mi m'agrada trastejar el meu Linux fins a la sacietat, fer experiments, compilar els meus nuclis, alleugerir-i buscar optimitzacions. I ja em va tocar els sagrats ous el UEFI, que em toca tenir configuracions estranyes en la bios per culpa d'aquest, com per todabía ficar-li mes merda a el sistema amb un rerefons claríssim.
Si volguessin Linux gastarien diners de veritat no esperant treure sempre profit, proporcionarien programes grans d'usuari i es mojarían en projectes per forçar a la indústria que s'avanci, vegeu XNUMX directx oficial i de codi obert o destinar recursos a projectes com WAYLAND i no coquetejos on sempre hi ha lletra petita per copiar característiques de Linux i gorrejar a preu barat. Que d'estimar Linux em crec ben poc aquesta fal·làcia, ja estic cansat de tanta mentida.