Microsoft ehdotti moduulia Linux-ytimelle järjestelmän eheyden tarkistamiseksi

Microsoftin kehittäjät paljastivat äskettäin tietoa IPE-mekanismin käyttöönotto (Eheyskäytännön täytäntöönpano), toteutettu LSM-moduulina (Linux Security Module) Linux-ytimelle.

Moduuli tulee voit määrittää yleisen eheyskäytännön koko järjestelmälle, josta käyvät ilmi, mitkä toiminnot ovat kelvollisia ja miten komponenttien aitous olisi tarkistettava. IPE: n kanssa Voit määrittää suoritettavia tiedostoja ja varmista, että nämä tiedostot ovat identtisiä luotettavan lähteen tarjoaman version kanssa. Koodi on avoinna MIT-lisenssillä.

Ydin Linux tukee useita LSM: itä, mukaan lukien SELinux (parannetulla suojauksella varustettu Linux) ja AppArmor tunnetuimpien joukossa. Microsoft osallistuu Linuxiin teknisenä perustana erilaisille aloitteille ja tämä uusi projekti on nimennyt sen IPE: ksi (Eheyskäytännön täytäntöönpano).

Tämän tarkoituksena on vahvistaa Linux-ytimen koodin eheyttä ja varmistaa, että "mikä tahansa käynnissä oleva koodi (tai luettavat tiedostot) ovat identtisiä luotettavan lähteen luoman version kanssa", Microsoft kertoi GitHubissa.

IPE pyrkii luomaan täysin todennettavissa olevat järjestelmät joiden eheys tarkistetaan käynnistyslataimesta ja ytimestä lopullisiin suoritettaviin tiedostoihin, kokoonpanoon ja latauksiin.

Jos tiedosto muuttuu tai vaihdetaan, IPE voi estää toiminnan tai tallentaa eheysrikkomuksen. Ehdotettua mekanismia voidaan käyttää sulautettujen laitteiden laiteohjelmistoissa, joissa kaikki ohjelmistot ja asetukset on kerätty ja erityisesti omistajan toimittama, esimerkiksi Microsoftin datakeskuksissa IPE: tä käytetään palomuurien laitteissa.

Vaikka ytimen Linuxilla on jo useita moduuleja tarkistusta varten eheys IMA: na.

IPE tarjoaa erityisesti binäärikoodin ajonaikaisen vahvistuksen. Microsoft toteaa, että IPE eroaa muista LSM: istä useilla tavoilla, joilla ne tarjoavat eheystarkastuksen.

IPE tukee myös onnistuneita tarkastuksia. Kun tämä asetus on käytössä, kaikki tapahtumat
jotka läpäisevät IPE-käytännön ja joita ei ole estetty, lähettävät tarkastustapahtuman.

Tämä Microsoftin ehdottama uusi moduuli se ei ole sama kuin muut eheystarkastusjärjestelmät, kuten IMA. Mielenkiintoinen asia IPE: ssä on se eroaa monilta osin ja on riippumaton metatiedoista tiedostojärjestelmässä, lisäksi kaikki toimintojen pätevyyden määrittävät ominaisuudet tallennetaan suoraan ytimeen.

Esimerkiksi IPE ei riipu tiedostojärjestelmän metatiedoista ja määritteistä, jotka IPE tarkistaa. IPE ei myöskään toteuta mitään mekanismia IMA-allekirjoitustiedostojen tarkistamiseksi. Tämä johtuu siitä, että Linux-ytimessä on jo moduuleja, kuten dm-verity.

Tarkoitan sitä tarkistaa tiedostosisällön eheys salauksen tiivisteillä, käytetään ytimessä jo olemassa olevia dm-verity- tai fs-verity-mekanismeja.

Kaksi toimintatapaa ovat sallivia ja pakollisia analogisesti SELinuxin kanssa. Ensimmäisessä tilassa ongelmaloki tehdään vain tarkistuksia suoritettaessa, joita voidaan käyttää esimerkiksi ympäristön alustavaan testaukseen.

"Ihannetapauksessa IPE: tä käyttävää järjestelmää ei ole tarkoitettu yleiseen tietokoneiden käyttöön eikä siinä käytetä kolmannen osapuolen ohjelmistoja tai asetuksia", julkaisija kertoi.

Lisäksi Microsoftin mainostama LSM on suunniteltu erityistapauksia varten, sulautettuina järjestelminä, joissa turvallisuus on etusijalla ja järjestelmänvalvojat ovat täysin hallinnassa.

Järjestelmän omistajat voivat luoda omat käytäntönsä eheystarkastuksia varten ja käyttää sisäänrakennettuja dm-verity-allekirjoituksia koodien todentamiseen.

Lopuksi, uusi projekti tuo uuden Linux-suojausmoduulin, jota muut moduulit eivät voi tehdä suojaamaan järjestelmää haitallisen koodin suorittamiselta.

Vihdoin Jos haluat tietää enemmän tämän uuden moduulin yksityiskohdista Microsoftin kehittäjien ehdottama, voit tarkistaa yksityiskohdat Seuraavassa linkissä. Voit tarkistaa tämän moduulin lähdekoodin seuraava linkki.