A Microsoft fejlesztői bemutatták a közelmúltban információ arról az IPE-mechanizmus bevezetése (Integrity Policy Implementation), LSM modulként valósult meg (Linux biztonsági modul) a Linux kernelhez.
A modul megteszi lehetővé teszi az egész rendszerre vonatkozó általános integritási házirend meghatározását, megjelölve, hogy mely műveletek érvényesek, és hogyan kell ellenőrizni az alkatrészek hitelességét. IPE-vel, megadhatja, hogy mely futtatható fájlok futtathatók és ellenőrizze, hogy ezek a fájlok megegyeznek-e a megbízható forrás által biztosított verzióval. A kód az MIT licenc alatt van nyitva.
Kernel A Linux több LSM-t támogat, köztük a SELinux (fokozott biztonságú Linux) és az AppArmor a legismertebbek között. A Microsoft hozzájárul a Linuxhoz mint a különféle kezdeményezések technikai alapja és ez az új projekt IPE-nek nevezte el (Integritáspolitika érvényesítése).
Ennek célja a Linux kernel kódintegritásának megerősítése, annak biztosítása, hogy "bármilyen futó kód (vagy olvasott fájl) megegyezzen a megbízható forrás által létrehozott verzióval" - mondta a Microsoft a GitHubon.
Az IPE célja egy teljesen ellenőrizhető rendszerek létrehozása amelynek integritását a rendszerbetöltőtől és a kerneltől a végső futtatható fájlokig, a konfigurációig és a letöltésekig ellenőrizzük.
Fájl megváltoztatása vagy cseréje esetén a Az IPE blokkolhatja a műveletet vagy rögzítheti az integritás megsértését. A javasolt mechanizmus használható beágyazott eszközök firmware-jében, ahol minden szoftvert és beállítást összegyűjt és különösen a tulajdonos biztosít, például a Microsoft adatközpontjaiban az IPE-t a tűzfalakhoz használt berendezésekben használják.
Bár a A Linuxnak már több modulja van az ellenőrzéshez integritása mint IMA.
Az IPE kifejezetten a bináris kód futásidejű ellenőrzését kínálja. A Microsoft kijelenti, hogy az IPE több szempontból különbözik a többi LSM-től, mivel biztosítják az integritás ellenőrzését.
Az IPE a sikeres auditokat is támogatja. Ha engedélyezve van, minden esemény
amelyek megfelelnek az IPE házirendnek és nincsenek letiltva, audit eseményt bocsátanak ki.
A Microsoft által javasolt új modul, nem azonos más integritás-ellenőrző rendszerekkel, mint például az IMA. Az IPE érdekessége, hogy több szempontból is különbözik és független a metaadatoktól a fájlrendszerben, azon kívül, hogy a műveletek érvényességét meghatározó összes tulajdonságot közvetlenül a kernel tárolja.
Például az IPE nem függ az IPE által ellenőrzött fájlrendszer metaadatától és attribútumaitól. Az IPE nem alkalmaz semmilyen mechanizmust az IMA aláírási fájlok ellenőrzésére. Ez azért van, mert a Linux kernel már rendelkezik modulokkal, például a dm-verity.
Úgy értem a fájl tartalmának integritásának ellenőrzése kriptográfiai kivonatokkal, a kernelben már meglévő dm-verity vagy fs-verity mechanizmusokat használják.
A SELinux analógiájára két működési mód megengedő és kötelező. Az első módban a problémanapló csak ellenőrzések végrehajtásakor készül, amelyek például felhasználhatók a környezet előzetes tesztelésére.
"Ideális esetben egy IPE-t használó rendszert nem általános számítógép-használatra szánnak, és nem használ harmadik féltől származó szoftvereket vagy beállításokat" - mondta a kiadó.
Továbbá a A Microsoft által támogatott LSM-t speciális esetekre tervezték, mint beágyazott rendszerek, ahol a biztonság elsőbbséget élvez, és a rendszergazdák teljes mértékben ellenőrzik őket.
A rendszertulajdonosok létrehozhatják saját házirendjüket az integritás ellenőrzésére, és beépített dm-verity aláírásokat használhatnak a kódok hitelesítéséhez.
Végezetül az új projekt egy új Linux biztonsági modult hoz, amelyet más modulok nem tehetnek meg a rendszer védelme érdekében a rosszindulatú kódok végrehajtásától.
Végül Ha többet szeretne megtudni az új modul részleteiről a Microsoft fejlesztői által javasolt módon ellenőrizheti a részleteket A következő linken. A modul forráskódját itt ellenőrizheti a következő link.
A Microsoft megijeszt ...
A Microsoft szeretné ellenőrizni a Linux rendszer integritását? LOL. Ez vicc lehet
A Linuxnak nincs szüksége mirdosoftra.
Minden munkád nagyon jó, és nem vetem meg, a Linux világ nem zárja be kapuit senki előtt, és minden örömmel fogadható, ha ugyanabba az irányba evezel. Peeeeeeeero Szeretem bütykölni a Linux ad nauseam-et, kísérleteket végezni, összeállítani a rendszermagokat, könnyíteni és optimalizálást keresni. És már megvoltak a szent tojásaim, az uefi, hogy emiatt furcsa konfigurációkkal kell rendelkeznem a bioszban, mintha még egy nagyon tiszta háttérrel több szart tennék a rendszerbe.
Ha Linuxot akarnak, valódi pénzt költenek, nem számítva arra, hogy mindig csökkennek, remek felhasználói programokat kínálnak, és olyan projektekbe kerülnek, amelyek arra kényszerítik az ipart, hogy előrelépjen, megnézzen egy hivatalos és nyílt forráskódú direktxet, vagy forrásokat rendeljen a projektekhez mint a wayland, és nem a flörtök, ahol mindig finom nyomtatás van a Linux szolgáltatásainak másolásához és olcsón. Hogy nem hiszek abban, hogy szeretem a Linuxot abban a tévedésben, már elegem van a sok hazugságból.