מפתחי מיקרוסופט חשפו לאחרונה מידע על הכנסת מנגנון ה- IPE (אכיפת מדיניות שלמות), מיושם כמודול LSM (מודול אבטחה לינוקס) עבור ליבת לינוקס.
המודול יהיה מאפשר לך להגדיר מדיניות תקינות כללית עבור המערכת כולה, המציין אילו פעולות תקפות וכיצד יש לוודא את האותנטיות של הרכיבים. עם IPE, אתה יכול לציין אילו קבצי הפעלה ניתן להריץ וודא שקבצים אלה זהים לגרסה שמספק מקור מהימן. הקוד פתוח תחת רישיון MIT.
גַרעִין לינוקס תומכת במספר LSM, כולל SELinux (לינוקס עם אבטחה משופרת) ו- AppArmor מהידועים ביותר. מיקרוסופט תורמת בלינוקס כבסיס הטכני ליוזמות שונות והפרויקט החדש הזה כינה אותו בשם IPE (אכיפת מדיניות שלמות).
זה נועד לחזק את שלמות הקוד עבור ליבת לינוקס, כדי להבטיח ש"כל קוד שפועל (או קבצים שקוראים אותו) זהה לגירסה שנוצרה על ידי מקור מהימן ", אמרה מיקרוסופט ב- GitHub.
IPE שואפת ליצור מערכות המאומתות לחלוטין שלמותם מאומתת מ- bootloader ו- kernel ועד קבצי הפעלה סופיים, תצורה והורדות.
במקרה של שינוי או החלפת קובץ, IPE יכול לחסום את הפעולה או לתעד את עובדת הפרת היושרה. ניתן להשתמש במנגנון המוצע בקושחה למכשירים משובצים בהם כל התוכנות וההגדרות נאספות ומסופקות במיוחד על ידי הבעלים, למשל, במרכזי הנתונים של מיקרוסופט, IPE משמש בציוד לחומות אש.
למרות שהגרעין של לינוקס כבר כוללת מספר מודולים לאימות שלמות כמו IMA.
IPE מציעה במיוחד אימות זמן ריצה של קוד בינארי. מיקרוסופט מצהירה כי IPE שונה מ- LSM אחרים בכמה דרכים בהן הם מספקים אימות שלמות.
IPE תומכת גם בביקורות מוצלחות. כאשר מופעלת, כל האירועים
שעוברים את מדיניות ה- IPE ואינם חסומים, יפלטו אירוע ביקורת.
מודול חדש זה המוצע על ידי מיקרוסופט, זה לא אותו דבר כמו מערכות אימות שלמות אחרות, כגון IMA. הדבר המעניין ב- IPE הוא זה שונה בכמה מובנים ואינו תלוי במטא נתונים במערכת הקבצים, מלבד כל המאפיינים הקובעים את תוקף הפעולות נשמרים ישירות בגרעין.
לדוגמא, IPE אינו תלוי במטא נתונים ותכונות מערכת הקבצים ש- IPE מאמת. כמו כן, IPE אינו מיישם שום מנגנון לאימות קבצי חתימת IMA. הסיבה לכך היא כי לליבת לינוקס כבר יש מודולים עבורו, כגון dm-verity.
זאת אומרת כדי לאמת את תקינות תוכן הקובץ באמצעות חשיפות הצפנה, משתמשים במנגנוני dm-verity או fs-verity שכבר קיימים בגרעין.
באנלוגיה עם SELinux, שני מצבי פעולה הם מותרים וחובה. במצב הראשון, יומן בעיות נוצר רק בעת ביצוע בדיקות, אשר, למשל, יכולות לשמש לבדיקות מקדימות של הסביבה.
"באופן אידיאלי, מערכת המשתמשת ב- IPE אינה מיועדת לשימוש כללי במחשב ואינה משתמשת בתוכנות או הגדרות של צד שלישי", אמר המו"ל.
יתר על כן, LSM שמקדמת מיקרוסופט מיועד למקרים ספציפיים, כמערכות משובצות, כאשר האבטחה היא בראש סדר העדיפויות ומנהלי המערכת הם בשליטה מלאה.
בעלי מערכות יכולים ליצור מדיניות משלהם לבדיקת תקינות ולהשתמש בחתימות מובנות של dm-verity כדי לאמת קודים.
לסיום, הפרויקט החדש מביא מודול אבטחה חדש של לינוקס שמודולים אחרים לא יכולים לעשות כדי להגן על המערכת מפני ביצוע קוד זדוני.
בסופו של דבר אם אתה רוצה לדעת יותר על הפרטים של מודול חדש זה המוצעים על ידי מפתחי מיקרוסופט, תוכלו לבדוק את הפרטים בקישור הבא. אתה יכול לבדוק את קוד המקור של מודול זה ב הקישור הבא.
מיקרוסופט מפחידה אותי ...
מיקרוסופט רוצה לבדוק את תקינות מערכת הלינוקס? חחח . זו בטח בדיחה
לינוקס אינה זקוקה ל- mirdosoft.
כל העבודה שלך טובה מאוד ואני לא מתעב אותה, עולם הלינוקס לא סוגר את שעריו לאף אחד והכל יתקבל בברכה אם אתה חותר באותו כיוון. Peeeeeeeero אני אוהב להתעסק עם בחירת המודעות שלי בלינוקס, לעשות ניסויים, לקמפל את הגרעינים שלי, להבהיר אותם ולחפש אופטימיזציות. וכבר היו לי את הביצים המקודשות uefi, שאני צריך שיהיו לי תצורות מוזרות בביוס בגלל זה, כאילו להכניס עוד חרא למערכת עם רקע מאוד ברור.
אם הם היו רוצים לינוקס הם היו מוציאים כסף אמיתי ולא מצפים לבצע קיצוץ תמיד, הם היו מספקים תוכניות משתמשים גדולות והם היו נרטבים בפרויקטים כדי לאלץ את התעשייה להתקדם, לראות הרשאת קוד רשמי ופתוח פתוח או להקצות משאבים לפרויקטים. כמו דרך ארץ וללא פלירטוטים שבהם יש תמיד אותיות קטנות להעתקת תכונות לינוקס ולהציץ בזול. שאני לא מאמין לכישלון הזה לגבי אהבת לינוקס, נמאס לי מכל כך הרבה שקרים.