Οι προγραμματιστές της Microsoft αποκάλυψαν πρόσφατα πληροφορίες για η εισαγωγή του μηχανισμού IPE (Επιβολή πολιτικής ακεραιότητας), υλοποιείται ως μονάδα LSM (Linux Security Module) για τον πυρήνα Linux.
Η ενότητα θα σας επιτρέπει να ορίσετε μια γενική πολιτική ακεραιότητας για ολόκληρο το σύστημα, υποδεικνύοντας ποιες λειτουργίες είναι έγκυρες και πώς πρέπει να επαληθευτεί η αυθεντικότητα των στοιχείων. Με IPE, μπορείτε να καθορίσετε ποια εκτελέσιμα αρχεία μπορούν να εκτελεστούν και βεβαιωθείτε ότι αυτά τα αρχεία είναι ίδια με την έκδοση που παρέχεται από μια αξιόπιστη πηγή. Ο κωδικός είναι ανοιχτός υπό την άδεια MIT.
Πυρήνας Το Linux υποστηρίζει πολλαπλά LSM, συμπεριλαμβανομένων των SELinux (Linux με βελτιωμένη ασφάλεια) και AppArmor μεταξύ των πιο γνωστών. Η Microsoft συνεισφέρει στο Linux ως η τεχνική βάση για διάφορες πρωτοβουλίες και αυτό το νέο έργο το έχει ονομάσει IPE (Επιβολή πολιτικής ακεραιότητας).
Αυτό έχει σχεδιαστεί για να ενισχύσει την ακεραιότητα του κώδικα για τον πυρήνα Linux, για να διασφαλίσει ότι "οποιοσδήποτε κώδικας που εκτελείται (ή αρχεία που διαβάζονται) είναι πανομοιότυπος με την έκδοση που δημιουργείται από μια αξιόπιστη πηγή", δήλωσε η Microsoft στο GitHub.
Το IPE στοχεύει στη δημιουργία πλήρως επαληθεύσιμων συστημάτων του οποίου η ακεραιότητα επαληθεύεται από το bootloader και τον πυρήνα στα τελικά εκτελέσιμα αρχεία, διαμόρφωση και λήψεις.
Σε περίπτωση αλλαγής ή αντικατάστασης αρχείου, το Το IPE μπορεί να αποκλείσει τη λειτουργία ή να καταγράψει το γεγονός της παραβίασης της ακεραιότητας Ο προτεινόμενος μηχανισμός μπορεί να χρησιμοποιηθεί σε υλικολογισμικό για ενσωματωμένες συσκευές όπου όλο το λογισμικό και οι ρυθμίσεις συλλέγονται και παρέχονται ειδικά από τον κάτοχο, για παράδειγμα, στα κέντρα δεδομένων της Microsoft, το IPE χρησιμοποιείται σε εξοπλισμό για τείχη προστασίας.
Αν και ο πυρήνας του Το Linux έχει ήδη αρκετές ενότητες για επαλήθευση ακεραιότητα ως IMA.
Το IPE προσφέρει συγκεκριμένα την επαλήθευση χρόνου εκτέλεσης του δυαδικού κώδικα. Η Microsoft δηλώνει ότι το IPE διαφέρει από άλλα LSM με διάφορους τρόπους που παρέχουν επαλήθευση ακεραιότητας.
Το IPE υποστηρίζει επίσης επιτυχημένους ελέγχους. Όταν ενεργοποιηθεί, όλα τα συμβάντα
που περνούν την πολιτική IPE και δεν αποκλείονται θα εκπέμπουν ένα συμβάν ελέγχου.
Αυτή η νέα ενότητα που προτείνει η Microsoft, δεν είναι το ίδιο με άλλα συστήματα επαλήθευσης ακεραιότητας, όπως το IMA. Το ενδιαφέρον για το IPE είναι αυτό διαφέρει από πολλές απόψεις και είναι ανεξάρτητο από τα μεταδεδομένα στο σύστημα αρχείων, εκτός από αυτό όλες οι ιδιότητες που καθορίζουν την εγκυρότητα των λειτουργιών αποθηκεύονται απευθείας στον πυρήνα.
Για παράδειγμα, το IPE δεν εξαρτάται από τα μεταδεδομένα και τα χαρακτηριστικά του συστήματος αρχείων που επαληθεύει το IPE. Επίσης, το IPE δεν εφαρμόζει κανένα μηχανισμό για την επαλήθευση αρχείων υπογραφής IMA. Αυτό συμβαίνει επειδή ο πυρήνας του Linux έχει ήδη λειτουργικές μονάδες για αυτό, όπως το dm-verity.
Θέλω να πω αυτό για την επαλήθευση της ακεραιότητας του περιεχομένου του αρχείου χρησιμοποιώντας κρυπτογραφικές κατακερματισμούς, χρησιμοποιούνται οι μηχανισμοί dm-verity ή fs-verity που υπάρχουν ήδη στον πυρήνα.
Κατ 'αναλογία με το SELinux, δύο τρόποι λειτουργίας είναι ανεκτικοί και υποχρεωτικοί. Στην πρώτη λειτουργία, ένα αρχείο καταγραφής προβλημάτων δημιουργείται μόνο κατά την εκτέλεση ελέγχων, οι οποίοι, για παράδειγμα, μπορούν να χρησιμοποιηθούν για προκαταρκτικές δοκιμές του περιβάλλοντος.
"Στην ιδανική περίπτωση, ένα σύστημα που χρησιμοποιεί IPE δεν προορίζεται για γενική χρήση υπολογιστή και δεν χρησιμοποιεί ρυθμίσεις ή λογισμικό που έχει δημιουργηθεί από τρίτο μέρος", δήλωσε ο εκδότης.
Επιπλέον, η Το LSM που προωθεί η Microsoft έχει σχεδιαστεί για συγκεκριμένες περιπτώσεις, ως ενσωματωμένα συστήματα, όπου η ασφάλεια αποτελεί προτεραιότητα και οι διαχειριστές συστήματος έχουν πλήρη έλεγχο.
Οι κάτοχοι συστημάτων μπορούν να δημιουργήσουν τις δικές τους πολιτικές για ελέγχους ακεραιότητας και να χρησιμοποιήσουν ενσωματωμένες υπογραφές dm-verity για έλεγχο ταυτότητας κωδικών.
Εν κατακλείδι, το νέο έργο φέρνει μια νέα λειτουργική μονάδα ασφαλείας Linux που άλλες λειτουργικές μονάδες δεν μπορούν να κάνουν για να προστατεύσουν το σύστημα από την εκτέλεση κακόβουλου κώδικα.
Τελικά Αν θέλετε να μάθετε περισσότερα για τις λεπτομέρειες αυτής της νέας ενότητας που προτείνονται από προγραμματιστές της Microsoft, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο. Μπορείτε να ελέγξετε τον πηγαίο κώδικα αυτής της ενότητας στο τον ακόλουθο σύνδεσμο.
Η Microsoft με τρομάζει ...
Η Microsoft θέλει να ελέγξει την ακεραιότητα του συστήματος Linux; ΧΑΧΑΧΑ . Πρέπει να είναι ένα αστείο
Το Linux δεν χρειάζεται mirdosoft.
Όλη η δουλειά σας είναι πολύ καλή και δεν την περιφρονούμαι, ο κόσμος του Linux δεν κλείνει τις πόρτες του σε κανέναν και όλα είναι ευπρόσδεκτα αν ακολουθήσετε την ίδια κατεύθυνση. Peeeeeeeero Μου αρέσει να παίζω με τη διαφήμιση μου στο Linux, να κάνω πειράματα, να συντάσσω τους πυρήνες μου, να τους φωτίζω και να αναζητώ βελτιστοποιήσεις. Και είχα ήδη τα ιερά αυγά το uefi, ότι πρέπει να έχω παράξενες διαμορφώσεις στο bios εξαιτίας αυτού, σαν να βάζω περισσότερα σκατά στο σύστημα με πολύ σαφές φόντο.
Εάν ήθελαν το Linux, θα ξόδευαν πραγματικά χρήματα χωρίς να περιμένουν να κάνουν πάντα περικοπή, θα παρείχαν μεγάλα προγράμματα χρηστών και θα βρέχονταν σε έργα για να αναγκάσουν τη βιομηχανία να προχωρήσει, να δουν ένα επίσημο και ανοιχτού κώδικα directx ή να διαθέσουν πόρους σε έργα όπως το wayland και χωρίς φλερτ όπου υπάρχει πάντα καλή εκτύπωση για να αντιγράφετε τις λειτουργίες Linux και να αναζητάτε φθηνά. Ότι δεν πιστεύω ότι αγαπώ πολύ το Linux που είναι πλάνη, είμαι ήδη κουρασμένος από τόσα πολλά ψέματα.