Microsoft foreslog et modul til Linux-kernen for at verificere systemets integritet

Microsoft-udviklere afsløret for nylig information om indførelsen af ​​IPE-mekanismen (Håndhævelse af integritetspolitik), implementeret som et LSM-modul (Linux Security Module) til Linux-kernen.

Modulet vil giver dig mulighed for at definere en generel integritetspolitik for hele systemet, der angiver, hvilke operationer der er gyldige, og hvordan ægtheden af ​​komponenterne skal verificeres. Med IPE, du kan angive, hvilke eksekverbare filer der kan køres og sørg for, at disse filer er identiske med den version, der leveres af en betroet kilde. Koden er åben under MIT-licensen.

Kerne Linux understøtter flere LSM'er, herunder SELinux (Linux med forbedret sikkerhed) og AppArmor blandt de mest kendte. Microsoft bidrager på Linux som det tekniske grundlag for forskellige initiativer og dette nye projekt har kaldt det som IPE (Håndhævelse af integritetspolitik).

Dette er designet til at styrke integriteten af ​​koden til Linux-kernen for at sikre, at "enhver kode, der kører (eller filer, der læses) er identisk med den version, der oprettes af en betroet kilde," sagde Microsoft på GitHub.

IPE sigter mod at skabe fuldt verificerbare systemer hvis integritet er verificeret fra bootloader og kerne til endelige eksekverbare filer, konfiguration og downloads.

I tilfælde af en filændring eller erstatning, IPE kan blokere handlingen eller registrere kendsgerningen om krænkelse af integriteten. Den foreslåede mekanisme kan bruges i firmware til indlejrede enheder, hvor al software og indstillinger indsamles og leveres især af ejeren, for eksempel i Microsoft datacentre, IPE bruges i udstyr til firewalls.

Selvom kernen af Linux har allerede flere moduler til verifikation integritet som IMA.

IPE tilbyder specifikt runtime-verifikation af binær kode. Microsoft siger, at IPE adskiller sig fra andre LSM'er på flere måder, at de leverer integritetsverifikation.

IPE understøtter også vellykkede revisioner. Når aktiveret, alle begivenheder
der overholder IPE-politikken og ikke er blokeret, udsender en revisionshændelse.

Dette nye modul foreslået af Microsoft, det er ikke det samme som andre integritetsverifikationssystemer, såsom IMA. Det interessante ved IPE er det adskiller sig i flere henseender og er uafhængig af metadata i filsystemet, udover at alle de egenskaber, der bestemmer gyldigheden af ​​operationerne, er gemt direkte i kernen.

For eksempel afhænger IPE ikke af filsystemets metadata og attributter, som IPE verificerer. IPE implementerer heller ikke nogen mekanisme til at verificere IMA-signaturfiler. Dette skyldes, at Linux-kernen allerede har moduler til den, såsom dm-verity.

Det mener jeg for at kontrollere integriteten af ​​filindholdet ved hjælp af kryptografiske hashes, anvendes de dm-verity- eller fs-verity-mekanismer, der allerede findes i kernen.

I analogi med SELinux er to driftsformer tilladelige og obligatoriske. I den første tilstand oprettes der kun en problemlog, når der udføres kontrol, som f.eks. Kan bruges til foreløbig test af miljøet.

"Ideelt set er et system, der bruger IPE, ikke beregnet til almindelig computerbrug og bruger ikke tredjepartssoftware eller -indstillinger," sagde udgiveren.

Endvidere LSM, der fremmes af Microsoft, er designet til specifikke sager, som indlejrede systemer, hvor sikkerhed er en prioritet, og systemadministratorer har fuld kontrol.

Systemejere kan oprette deres egne politikker til integritetskontrol og bruge indbyggede dm-verity-signaturer til at godkende koder.

For at afslutte bringer det nye projekt et nyt Linux-sikkerhedsmodul, som andre moduler ikke kan gøre for at beskytte systemet mod udførelse af ondsindet kode.

Endelig Hvis du vil vide mere om detaljerne i dette nye modul foreslået af Microsoft-udviklere, kan du kontrollere detaljerne I det følgende link. Du kan kontrollere kildekoden til dette modul i følgende link. 


4 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Jose sagde han

    Microsoft skræmmer mig ...

  2.   Robert sagde han

    Microsoft ønsker at kontrollere integriteten af ​​Linux-systemet? LOL. Det må være en vittighed

  3.   Rafa sagde han

    Linux har ikke brug for mirdosoft.

  4.   Superkritikon sagde han

    Alt dit arbejde er meget godt, og jeg foragter det ikke, Linux-verdenen lukker ikke dørene for nogen, og alt er velkomment, hvis du roer i samme retning. Peeeeeeeero Jeg kan godt lide at rode med min Linux-annonce nauseam, lave eksperimenter, kompilere mine kerner, lette dem og se efter optimeringer. Og jeg havde allerede de hellige æg uefi, at jeg er nødt til at have mærkelige konfigurationer i bios på grund af dette, som om jeg vil lægge mere lort i systemet med en meget klar baggrund.
    Hvis de ville have Linux, ville de bruge rigtige penge på ikke at forvente altid at skære ned, de ville give store brugerprogrammer, og de ville blive våde i projekter for at tvinge industrien til at komme videre, se en officiel og open source directx eller afsætte ressourcer til projekter som wayland og ingen flirt, hvor der altid er fint print til at kopiere Linux-funktioner og skure billigt. At jeg ikke tror på den fejlslutning ved at elske Linux, er jeg træt af så mange løgne.