マイクロソフトの開発者が発表 最近の情報 IPEメカニズムの導入 (整合性ポリシーの実施)、 LSMモジュールとして実装 (Linuxセキュリティモジュール)Linuxカーネル用。
モジュールは システム全体の一般的な整合性ポリシーを定義できます、有効な操作と、コンポーネントの信頼性を検証する方法を示します。 IPEを使用すると、 実行できる実行可能ファイルを指定できます そして、これらのファイルが信頼できるソースによって提供されたバージョンと同一であることを確認してください。 コードはMITライセンスの下で開かれています。
カーネル Linuxは複数のLSMをサポートしています。 SELinux(セキュリティが強化されたLinux)やAppArmorなどが最もよく知られています。 マイクロソフトはLinuxに貢献しています さまざまなイニシアチブの技術的基盤として そしてこの新しいプロジェクトはそれをIPEと名付けました (整合性ポリシーの実施)。
これは、Linuxカーネルのコードの整合性を強化し、「実行中のコード(または読み取られているファイル)が信頼できるソースによって作成されたバージョンと同一になるようにする」ことを目的としています。MicrosoftはGitHubで述べています。
IPEは、完全に検証可能なシステムの作成を目指しています その整合性は、ブートローダーとカーネルから最終的な実行可能ファイル、構成、ダウンロードまで検証されます。
ファイルの変更または置換が発生した場合、 IPEは、操作をブロックしたり、整合性違反の事実を記録したりできます。 提案されたメカニズムは、すべてのソフトウェアと設定が収集され、特に所有者によって提供される組み込みデバイスのファームウェアで使用できます。たとえば、Microsoftデータセンターでは、IPEはファイアウォールの機器で使用されます。
のカーネルが Linuxにはすでに検証用のモジュールがいくつかあります IMAとしての整合性。
IPEは、特にバイナリコードの実行時検証を提供します。 Microsoftは、IPEが他のLSMとは、整合性検証を提供するいくつかの点で異なると述べています。
IPEは、成功した監査もサポートします。 有効にすると、すべてのイベント
IPEポリシーに合格し、ブロックされていないものは、監査イベントを発行します。
マイクロソフトによって提案されたこの新しいモジュールは、 他の整合性検証システムと同じではありません。 IMAなど。 IPEの興味深い点は、 いくつかの点で異なり、メタデータから独立しています ファイルシステムでは、操作の有効性を決定するすべてのプロパティがカーネルに直接保存されます。
たとえば、IPEは、IPEが検証するファイルシステムのメタデータと属性に依存しません。 また、IPEは、IMA署名ファイルを検証するメカニズムを実装していません。 これは、Linuxカーネルにdm-verityなどのモジュールがすでにあるためです。
ということです 暗号化ハッシュを使用してファイルコンテンツの整合性を検証する、カーネルにすでに存在するdm-verityまたはfs-verityメカニズムが使用されます。
SELinuxと同様に、XNUMXつの操作モードは許容的で必須です。 最初のモードでは、問題ログはチェックを実行するときにのみ作成されます。これは、たとえば、環境の予備テストに使用できます。
「理想的には、IPEを使用するシステムは、一般的なコンピューターの使用を目的としておらず、サードパーティのソフトウェアや設定を使用していません」と発行者は述べています。
さらに、 Microsoftが推進するLSMは、特定のケース向けに設計されています、組み込みシステムとして、セキュリティが優先され、システム管理者が完全に制御します。
システム所有者は、整合性チェック用の独自のポリシーを作成し、組み込みのdm-verity署名を使用してコードを認証できます。
結論として、新しいプロジェクトは、悪意のあるコードの実行からシステムを保護するために他のモジュールが実行できない新しいLinuxセキュリティモジュールをもたらします。
最後に この新しいモジュールの詳細についてもっと知りたい場合 マイクロソフトの開発者によって提案された、あなたは詳細を確認することができます 次のリンクで。 このモジュールのソースコードは、で確認できます。 次のリンク。
マイクロソフトは私を怖がらせます...
MicrosoftはLinuxシステムの整合性をチェックしたいですか? 笑 。 冗談に違いない
Linuxはmirdosoftを必要としません。
あなたの仕事はすべてとても良いです、そして私はそれを軽蔑しません、Linuxの世界は誰に対してもその扉を閉ざしません、そしてあなたが同じ方向に漕ぐならばすべてが歓迎されます。 Peeeeeeeero Linuxの広告をいじくり回したり、実験をしたり、カーネルをコンパイルしたり、軽量化したり、最適化を探したりするのが好きです。 そして、私はすでに神聖な卵をuefiに持っていました。これは、非常に明確な背景を持つシステムにもっとたわごとを入れるかのように、このためにBIOSで奇妙な構成を持たなければならないということです。
Linuxが必要な場合は、常に削減することを期待せずに実際のお金を費やし、大規模なユーザープログラムを提供し、プロジェクトに没頭して業界を前進させ、公式のオープンソースDirectXを参照するか、プロジェクトにリソースを割り当てます。 Linuxの機能をコピーして安価に検索するための細かい印刷が常にある、浮気ではなく、ウェイランドのように。 Linuxを愛するという誤謬を信じていないので、私はすでに多くの嘘にうんざりしています。