Microsofti arendajad avalikustasid hiljuti teavet IPE mehhanismi kasutuselevõtt (Terviklikkuse põhimõtete jõustamine), rakendatud LSM-moodulina (Linuxi turvamoodul) Linuxi tuuma jaoks.
Moodul saab võimaldab teil määratleda kogu süsteemi üldise terviklikkuse poliitika, mis näitab, millised toimingud kehtivad ja kuidas tuleks kontrollida komponentide autentsust. IPE-ga saate määrata, milliseid käivitatavaid faile saab käivitada ja veenduge, et need failid oleksid identsed usaldusväärse allika pakutava versiooniga. Kood on avatud MIT-i litsentsi all.
Kernel Linux toetab mitut LSM-i, sealhulgas SELinux (täiustatud turbega Linux) ja AppArmor tuntumate seas. Microsoft panustab Linuxis erinevate algatuste tehnilise alusena ja see uus projekt on nimetanud seda IPE-ks (Integrity Policy jõustamine).
Selle eesmärk on tugevdada Linuxi kerneli koodi terviklikkust, tagamaks, et "kõik töötavad koodid (või loetavad failid) oleksid identsed usaldusväärse allika loodud versiooniga", ütles Microsoft GitHubis.
IPE eesmärk on luua täielikult kontrollitavaid süsteeme mille terviklikkust kontrollitakse alglaadurist ja kernlist kuni lõplike käivitatavate failide, konfiguratsiooni ja allalaadimisteni.
Faili muutmise või asendamise korral kuvatakse IPE võib toimingu blokeerida või terviklikkuse rikkumise fakti registreerida. Kavandatud mehhanismi saab kasutada sisseehitatud seadmete püsivara puhul, kus kogu tarkvara ja sätted kogub kokku ja pakub eelkõige omanik, näiteks Microsofti andmekeskustes kasutatakse IPE-d tulemüüride seadmetes.
Kuigi Linuxil on kontrollimiseks juba mitu moodulit terviklikkus kui IMA.
IPE pakub spetsiaalselt binaarkoodi töötamise kinnitamist. Microsoft väidab, et IPE erineb teistest LSM-idest mitmel viisil, mis võimaldavad terviklikkuse kontrollimist.
IPE toetab ka edukaid auditeid. Kui see on lubatud, siis kõik sündmused
kes läbivad IPE-poliitika ja pole blokeeritud, väljastab auditisündmuse.
See Microsofti pakutud uus moodul see ei ole sama mis muud terviklikkuse kontrollisüsteemid, nagu IMA. IPE huvitav asi on see erineb mitmes aspektis ja on metaandmetest sõltumatu failisüsteemis, lisaks sellele salvestatakse kõik operatsioonide kehtivust määravad atribuudid otse kernelisse.
Näiteks ei sõltu IPE failisüsteemi metaandmetest ja atribuutidest, mida IPE kontrollib. Samuti ei rakenda IPE IMA allkirjafailide kontrollimiseks ühtegi mehhanismi. Seda seetõttu, et Linuxi kernelis on selle jaoks juba mooduleid, näiteks dm-verity.
Ma mõtlen seda krüptograafiliste räside abil faili sisu terviklikkuse kontrollimiseks, kasutatakse juba tuumas olemasolevaid dm-verity või fs-verity mehhanisme.
Analoogiliselt SELinuxiga on kaks töörežiimi lubavad ja kohustuslikud. Esimeses režiimis tehakse probleemilogi ainult kontrollide tegemisel, mida saab kasutada näiteks keskkonna eeltestimiseks.
"Ideaalis pole IPE-d kasutav süsteem mõeldud üldiseks arvutikasutuseks ega kasuta kolmanda osapoole tarkvara ega sätteid," ütles kirjastaja.
Lisaks Microsofti reklaamitud LSM on mõeldud konkreetseteks juhtumiteks, varjatud süsteemidena, kus turvalisus on esmatähtis ja süsteemiadministraatorid on täielikult kontrolli all.
Süsteemi omanikud saavad luua terviklikkuse kontrollimiseks oma poliitika ja kasutada koodide autentimiseks sisseehitatud dm-verity allkirju.
Kokkuvõtteks võib öelda, et uus projekt toob kaasa uue Linuxi turvamooduli, mida teised moodulid ei saa süsteemi kaitsta pahatahtliku koodi käivitamise eest.
Lõpuks Kui soovite selle uue mooduli üksikasjade kohta rohkem teada saada Microsofti arendajate pakutud üksikasjadega saate tutvuda Järgmisel lingil. Selle mooduli lähtekoodi saate kontrollida järgmine link.
Microsoft hirmutab mind ...
Microsoft soovib kontrollida Linuxi süsteemi terviklikkust? LOL. See peab olema nali
Linux ei vaja mirdosofti.
Kogu teie töö on väga hea ja ma ei põlga seda ära, Linuxi maailm ei sulge oma uksi kellelegi ja kõik on teretulnud, kui sõudate samas suunas. Peeeeeeeero Mulle meeldib oma Linuxi reklaami nauseamiga jamasid teha, katseid teha, tuumad kokku panna, neid kergendada ja optimeerimisi otsida. Ja mul olid juba pühad munad, uefi, et mul peavad selle tõttu olema bios kummalised konfiguratsioonid, justkui oleksin väga selge taustaga süsteemi veelgi jama pannud.
Kui nad tahaksid Linuxi, kulutaksid nad reaalset raha, eeldamata, et teevad alati kärpeid, pakuvad suurepäraseid kasutajaprogramme ja saavad märjaks projektides, mis sunnivad tööstust edasi liikuma, nägema ametlikku ja avatud lähtekoodiga otsepilti või eraldama ressursse projektidele nagu flirt ja mitte flirtid, kus Linuxi funktsioonide kopeerimiseks ja odavaks sirvimiseks on alati peen kiri. Et ma ei usu seda eksitust Linuxi väga armastama, olen juba nii paljudest valedest tüdinenud.