Microsoftは、システムの整合性を検証するためのLinuxカーネル用のモジュールを提案しました

マイクロソフトの開発者が発表 最近の情報 IPEメカニズムの導入 （整合性ポリシーの実施）、 LSMモジュールとして実装 （Linuxセキュリティモジュール）Linuxカーネル用。

モジュールは システム全体の一般的な整合性ポリシーを定義できます、有効な操作と、コンポーネントの信頼性を検証する方法を示します。 IPEを使用すると、 実行できる実行可能ファイルを指定できます そして、これらのファイルが信頼できるソースによって提供されたバージョンと同一であることを確認してください。 コードはMITライセンスの下で開かれています。

カーネル Linuxは複数のLSMをサポートしています。 SELinux（セキュリティが強化されたLinux）やAppArmorなどが最もよく知られています。 マイクロソフトはLinuxに貢献しています さまざまなイニシアチブの技術的基盤として そしてこの新しいプロジェクトはそれをIPEと名付けました （整合性ポリシーの実施）。

これは、Linuxカーネルのコードの整合性を強化し、「実行中のコード（または読み取られているファイル）が信頼できるソースによって作成されたバージョンと同一になるようにする」ことを目的としています。MicrosoftはGitHubで述べています。

IPEは、完全に検証可能なシステムの作成を目指しています その整合性は、ブートローダーとカーネルから最終的な実行可能ファイル、構成、ダウンロードまで検証されます。

ファイルの変更または置換が発生した場合、 IPEは、操作をブロックしたり、整合性違反の事実を記録したりできます。 提案されたメカニズムは、すべてのソフトウェアと設定が収集され、特に所有者によって提供される組み込みデバイスのファームウェアで使用できます。たとえば、Microsoftデータセンターでは、IPEはファイアウォールの機器で使用されます。

のカーネルが Linuxにはすでに検証用のモジュールがいくつかあります IMAとしての整合性。

IPEは、特にバイナリコードの実行時検証を提供します。 Microsoftは、IPEが他のLSMとは、整合性検証を提供するいくつかの点で異なると述べています。

IPEは、成功した監査もサポートします。 有効にすると、すべてのイベント
IPEポリシーに合格し、ブロックされていないものは、監査イベントを発行します。

マイクロソフトによって提案されたこの新しいモジュールは、 他の整合性検証システムと同じではありません。 IMAなど。 IPEの興味深い点は、 いくつかの点で異なり、メタデータから独立しています ファイルシステムでは、操作の有効性を決定するすべてのプロパティがカーネルに直接保存されます。

たとえば、IPEは、IPEが検証するファイルシステムのメタデータと属性に依存しません。 また、IPEは、IMA署名ファイルを検証するメカニズムを実装していません。 これは、Linuxカーネルにdm-verityなどのモジュールがすでにあるためです。

ということです 暗号化ハッシュを使用してファイルコンテンツの整合性を検証する、カーネルにすでに存在するdm-verityまたはfs-verityメカニズムが使用されます。

SELinuxと同様に、XNUMXつの操作モードは許容的で必須です。 最初のモードでは、問題ログはチェックを実行するときにのみ作成されます。これは、たとえば、環境の予備テストに使用できます。

「理想的には、IPEを使用するシステムは、一般的なコンピューターの使用を目的としておらず、サードパーティのソフトウェアや設定を使用していません」と発行者は述べています。

さらに、 Microsoftが推進するLSMは、特定のケース向けに設計されています、組み込みシステムとして、セキュリティが優先され、システム管理者が完全に制御します。

システム所有者は、整合性チェック用の独自のポリシーを作成し、組み込みのdm-verity署名を使用してコードを認証できます。

結論として、新しいプロジェクトは、悪意のあるコードの実行からシステムを保護するために他のモジュールが実行できない新しいLinuxセキュリティモジュールをもたらします。

最後に この新しいモジュールの詳細についてもっと知りたい場合 マイクロソフトの開発者によって提案された、あなたは詳細を確認することができます 次のリンクで。 このモジュールのソースコードは、で確認できます。 次のリンク。