Svelati gli sviluppatori Microsoft recentemente informazioni su l'introduzione del meccanismo IPE (Applicazione della politica di integrità), implementato come modulo LSM (Linux Security Module) per il kernel Linux.
Il modulo lo farà consente di definire una politica di integrità generale per l'intero sistema, indicando quali operazioni sono valide e come deve essere verificata l'autenticità dei componenti. Con IPE, è possibile specificare quali file eseguibili possono essere eseguiti e assicurati che questi file siano identici alla versione fornita da una fonte attendibile. Il codice è aperto con la licenza MIT.
Kernel Linux supporta più LSM, tra cui SELinux (Linux con sicurezza migliorata) e AppArmor tra i più conosciuti. Microsoft contribuisce su Linux come base tecnica per varie iniziative e questo nuovo progetto lo ha chiamato IPE (Applicazione della politica di integrità).
Questo è progettato per rafforzare l'integrità del codice per il kernel Linux, per garantire che "qualsiasi codice in esecuzione (o file che vengono letti) sia identico alla versione creata da una fonte attendibile", ha detto Microsoft su GitHub.
IPE mira a creare sistemi completamente verificabili la cui integrità viene verificata dal bootloader e dal kernel fino ai file eseguibili finali, alla configurazione e ai download.
In caso di modifica o sostituzione di un file, il file IPE può bloccare l'operazione o registrare il fatto di violazione dell'integrità. Il meccanismo proposto può essere utilizzato nel firmware per dispositivi embedded in cui tutto il software e le impostazioni vengono raccolti e forniti soprattutto dal proprietario, ad esempio, nei data center Microsoft, IPE viene utilizzato nelle apparecchiature per i firewall.
Sebbene il kernel di Linux ha già diversi moduli per la verifica integrità come IMA.
IPE offre specificamente la verifica runtime del codice binario. Microsoft afferma che IPE differisce da altri LSM in diversi modi in cui forniscono la verifica dell'integrità.
IPE supporta anche audit di successo. Quando abilitato, tutti gli eventi
che superano la politica IPE e non sono bloccati emetterà un evento di controllo.
Questo nuovo modulo proposto da Microsoft, non è la stessa di altri sistemi di verifica dell'integrità, come IMA. La cosa interessante di IPE è questa è diverso per molti aspetti ed è indipendente dai metadati nel filesystem, inoltre tutte le proprietà che determinano la validità delle operazioni sono memorizzate direttamente nel kernel.
Ad esempio, IPE non dipende dai metadati e dagli attributi del file system verificati da IPE. Inoltre, IPE non implementa alcun meccanismo per verificare i file delle firme IMA. Questo perché il kernel Linux ha già dei moduli per esso, come dm-verity.
Intendo quello per verificare l'integrità del contenuto del file utilizzando hash crittografici, vengono utilizzati i meccanismi dm-verity o fs-verity già esistenti nel kernel.
Per analogia con SELinux, due modalità di funzionamento sono permissive e obbligatorie. Nella prima modalità, viene creato un registro dei problemi solo durante l'esecuzione dei controlli, che, ad esempio, può essere utilizzato per il test preliminare dell'ambiente.
"Idealmente, un sistema che utilizza IPE non è destinato all'uso generale del computer e non utilizza software o impostazioni di terzi", ha affermato l'editore.
Inoltre, l' LSM promosso da Microsoft è progettato per casi specifici, come sistemi integrati, in cui la sicurezza è una priorità e gli amministratori di sistema hanno il pieno controllo.
I proprietari del sistema possono creare le proprie politiche per i controlli di integrità e utilizzare firme dm-verity integrate per autenticare i codici.
Per concludere, il nuovo progetto porta un nuovo modulo di sicurezza Linux che altri moduli non possono fare per proteggere il sistema dall'esecuzione di codice dannoso.
Infine Se vuoi saperne di più sui dettagli di questo nuovo modulo proposto dagli sviluppatori Microsoft, puoi controllare i dettagli nel seguente link Puoi controllare il codice sorgente di questo modulo in il seguente collegamento.
Microsoft mi spaventa ...
Microsoft vuole verificare l'integrità del sistema Linux? LOL. Deve essere uno scherzo
Linux non ha bisogno di mirdosoft.
Tutto il tuo lavoro è molto buono e non lo disprezzo, il mondo Linux non chiude i battenti a nessuno e tutto è ben accetto se fila nella stessa direzione. Peeeeeeeero Mi piace scherzare con il mio Linux fino alla nausea, fare esperimenti, compilare i miei kernel, alleggerirli e cercare ottimizzazioni. E avevo già le uova sacre l'uefi, che devo avere strane configurazioni nel bios per questo motivo, come se volessi mettere più merda nel sistema con uno sfondo molto chiaro.
Se volessero Linux spenderebbero soldi veri non aspettandosi di fare sempre un taglio, fornirebbero programmi utente di grandi dimensioni e si bagnerebbero in progetti per costringere l'industria ad andare avanti, vedere una directx ufficiale e open source o allocare risorse ai progetti come Wayland e niente flirt dove c'è sempre una stampa fine per copiare le funzionalità di Linux e scroccare a buon mercato. Che non credo nell'amare Linux quell'errore, sono già stanco di tante bugie.