Microsoft ने लिनक्स कर्नेल के लिए सिस्टम की अखंडता को सत्यापित करने के लिए एक मॉड्यूल प्रस्तावित किया

Microsoft डेवलपर्स ने अनावरण किया के बारे में हाल ही में जानकारी IPE तंत्र की शुरूआत (अखंडता नीति प्रवर्तन), एक एलएसएम मॉड्यूल के रूप में लागू किया गया (लिनक्स सुरक्षा मॉड्यूल) लिनक्स कर्नेल के लिए।

मॉड्यूल होगा आपको संपूर्ण सिस्टम के लिए एक सामान्य अखंडता नीति को परिभाषित करने की अनुमति देता है, यह दर्शाता है कि कौन से ऑपरेशन वैध हैं और घटकों की प्रामाणिकता को कैसे सत्यापित किया जाना चाहिए। IPE के साथ, आप निर्दिष्ट कर सकते हैं कि कौन सी निष्पादन योग्य फाइलें चलाई जा सकती हैं और सुनिश्चित करें कि ये फाइलें एक विश्वसनीय स्रोत द्वारा प्रदान किए गए संस्करण के समान हैं। कोड MIT लाइसेंस के तहत खुला है।

गुठली लिनक्स कई एलएसएम का समर्थन करता है, SELinux (बेहतर सुरक्षा के साथ लिनक्स) और सबसे प्रसिद्ध के बीच AppArmor शामिल हैं। Microsoft लिनक्स पर योगदान देता है विभिन्न पहलों के लिए तकनीकी आधार के रूप में और इस नए प्रोजेक्ट ने इसे IPE नाम दिया है (वफ़ादारी नीति प्रवर्तन)।

यह लिनक्स कर्नेल के लिए कोड अखंडता को मजबूत करने के लिए डिज़ाइन किया गया है, यह सुनिश्चित करने के लिए कि "जो भी कोड चल रहा है (या फ़ाइलें पढ़ी जा रही हैं) एक विश्वसनीय स्रोत द्वारा बनाए गए संस्करण के समान हैं," Microsoft ने GitHub पर कहा।

IPE का लक्ष्य पूरी तरह से सत्यापन योग्य सिस्टम बनाना है जिसकी अखंडता को बूटलोडर और कर्नेल से अंतिम निष्पादन योग्य फ़ाइलों, कॉन्फ़िगरेशन और डाउनलोड में सत्यापित किया गया है।

फ़ाइल बदलने या बदलने की स्थिति में, IPE ऑपरेशन को ब्लॉक कर सकता है या अखंडता उल्लंघन के तथ्य को रिकॉर्ड कर सकता है। प्रस्तावित तंत्र का उपयोग फर्मवेयर में एम्बेडेड उपकरणों के लिए किया जा सकता है जहां सभी सॉफ़्टवेयर और सेटिंग्स एकत्र की जाती हैं और विशेष रूप से स्वामी द्वारा प्रदान की जाती हैं, उदाहरण के लिए, Microsoft डेटा केंद्रों में, IPE का उपयोग फायरवॉल के लिए उपकरणों में किया जाता है।

हालांकि की कर्नेल लिनक्स में पहले से ही सत्यापन के लिए कई मॉड्यूल हैं आईएमए के रूप में अखंडता।

IPE विशेष रूप से बाइनरी कोड के रनटाइम सत्यापन की पेशकश करता है। Microsoft बताता है कि IPE अन्य एलएसएम से कई मायनों में भिन्न है जो उन्हें अखंडता सत्यापन प्रदान करते हैं।

IPE भी सफल ऑडिट का समर्थन करता है। सक्षम होने पर, सभी ईवेंट
IPE नीति पास करें और अवरुद्ध न हों, ऑडिट ईवेंट का उत्सर्जन करेगा।

Microsoft द्वारा प्रस्तावित यह नया मॉड्यूल, यह अन्य अखंडता सत्यापन प्रणालियों के समान नहीं है, जैसे कि आई.एम.ए. IPE के बारे में दिलचस्प बात यह है कि कई मामलों में अलग है और मेटाडेटा से स्वतंत्र है फाइलसिस्टम में, इसके अलावा ऑपरेशन की वैधता को निर्धारित करने वाले सभी गुण सीधे कर्नेल में संग्रहीत किए जाते हैं।

उदाहरण के लिए, IPE फाइल सिस्टम मेटाडेटा पर निर्भर नहीं करता है और IPE सत्यापित करता है। इसके अलावा, IPE IMA हस्ताक्षर फ़ाइलों को सत्यापित करने के लिए किसी भी तंत्र को लागू नहीं करता है। ऐसा इसलिए है क्योंकि लिनक्स कर्नेल में पहले से ही इसके लिए मॉड्यूल हैं, जैसे कि dm-verity।

मेरा मतलब है कि क्रिप्टोग्राफिक हैश का उपयोग करके फ़ाइल सामग्री की अखंडता को सत्यापित करने के लिए, dm-verity या fs-verity तंत्र जो पहले से ही कर्नेल में मौजूद हैं, का उपयोग किया जाता है।

SELinux के साथ सादृश्य द्वारा, ऑपरेशन के दो तरीके अनुमेय और अनिवार्य हैं। पहले मोड में, चेक करते समय केवल एक समस्या लॉग की जाती है, जो उदाहरण के लिए, पर्यावरण के प्रारंभिक परीक्षण के लिए उपयोग की जा सकती है।

"आदर्श रूप से, आईपीई का उपयोग करने वाला एक सिस्टम सामान्य कंप्यूटर उपयोग के लिए अभिप्रेत नहीं है और तीसरे पक्ष के सॉफ़्टवेयर या सेटिंग्स का उपयोग नहीं करता है," प्रकाशक ने कहा।

इसके अलावा, Microsoft द्वारा प्रचारित LSM को विशिष्ट मामलों के लिए डिज़ाइन किया गया है, एम्बेडेड सिस्टम के रूप में, जहां सुरक्षा प्राथमिकता है और सिस्टम प्रशासक पूर्ण नियंत्रण में हैं।

सिस्टम मालिक अखंडता जांच के लिए अपनी नीतियां बना सकते हैं और कोड प्रमाणित करने के लिए अंतर्निहित डी-वेरिटी हस्ताक्षर का उपयोग कर सकते हैं।

समाप्त करने के लिए, नया प्रोजेक्ट एक नया लिनक्स सुरक्षा मॉड्यूल लाता है जो अन्य मॉड्यूल सिस्टम को दुर्भावनापूर्ण कोड के निष्पादन से बचाने के लिए नहीं कर सकता है।

अंत में यदि आप इस नए मॉड्यूल के विवरण के बारे में अधिक जानना चाहते हैं Microsoft डेवलपर्स द्वारा प्रस्तावित, आप विवरण देख सकते हैं निम्नलिखित लिंक में आप इस मॉड्यूल के स्रोत कोड की जाँच कर सकते हैं निम्नलिखित लिंक।