Pembangun Microsoft melancarkan maklumat baru-baru ini mengenai pengenalan mekanisme IPE (Penguatkuasaan Dasar Integriti), dilaksanakan sebagai modul LSM (Modul Keselamatan Linux) untuk kernel Linux.
Modul akan membolehkan anda menentukan dasar integriti umum untuk keseluruhan sistem, menunjukkan operasi mana yang sah dan bagaimana keaslian komponen harus disahkan. Dengan IPE, anda boleh menentukan fail mana yang boleh dijalankan dan pastikan fail ini sama dengan versi yang disediakan oleh sumber yang dipercayai. Kod dibuka di bawah lesen MIT.
Kernel Linux menyokong pelbagai LSM, termasuk SELinux (Linux dengan keselamatan yang dipertingkatkan) dan AppArmor antara yang paling terkenal. Microsoft menyumbang pada Linux sebagai asas teknikal untuk pelbagai inisiatif dan projek baru ini telah menamakannya sebagai IPE (Penguatkuasaan Dasar Integriti).
Ini dirancang untuk memperkuat integritas kod untuk kernel Linux, untuk memastikan bahawa "setiap kod yang sedang berjalan (atau fail yang sedang dibaca) sama dengan versi yang dibuat oleh sumber yang dipercayai," kata Microsoft di GitHub.
IPE bertujuan untuk mewujudkan sistem yang dapat disahkan sepenuhnya integriti yang disahkan dari bootloader dan kernel hingga ke fail, konfigurasi dan muat turun akhir yang boleh dilaksanakan.
Sekiranya berlaku pertukaran atau penggantian fail, IPE dapat menyekat operasi atau merekodkan fakta pelanggaran integriti. Mekanisme yang dicadangkan dapat digunakan dalam firmware untuk peranti tertanam di mana semua perisian dan tetapan dikumpulkan dan disediakan terutama oleh pemiliknya, misalnya, di pusat data Microsoft, IPE digunakan dalam peralatan untuk firewall.
Walaupun kernel dari Linux sudah mempunyai beberapa modul untuk pengesahan integriti sebagai IMA.
IPE secara khusus menawarkan pengesahan runtime kod binari. Microsoft menyatakan bahawa IPE berbeza dengan LSM lain dalam beberapa cara yang mereka berikan pengesahan integriti.
IPE juga menyokong audit yang berjaya. Apabila diaktifkan, semua acara
yang melepasi dasar IPE dan tidak disekat akan memancarkan peristiwa audit.
Modul baru ini yang dicadangkan oleh Microsoft, ia tidak sama dengan sistem pengesahan integriti yang lain, seperti IMA. Perkara yang menarik mengenai IPE ialah berbeza dalam beberapa aspek dan tidak bergantung kepada metadata dalam sistem fail, selain itu semua sifat yang menentukan kesahihan operasi disimpan terus di kernel.
Sebagai contoh, IPE tidak bergantung pada metadata dan atribut sistem fail yang disahkan oleh IPE. Juga, IPE tidak melaksanakan mekanisme apa pun untuk mengesahkan fail tandatangan IMA. Ini kerana kernel Linux sudah memiliki modul untuknya, seperti dm-verity.
Maksud saya untuk mengesahkan integriti kandungan fail menggunakan hash kriptografi, mekanisme dm-verity atau fs-verity yang sudah ada di kernel digunakan.
Dengan analogi dengan SELinux, dua modus operasi adalah permis dan wajib. Dalam mod pertama, log masalah hanya dibuat ketika melakukan pemeriksaan, yang, misalnya, dapat digunakan untuk pengujian awal terhadap lingkungan.
"Sebaik-baiknya, sistem yang menggunakan IPE tidak dimaksudkan untuk penggunaan komputer umum dan tidak menggunakan perisian atau pengaturan pihak ketiga," kata penerbit.
Di samping itu, LSM yang dipromosikan oleh Microsoft direka untuk kes tertentu, sebagai sistem tertanam, di mana keselamatan menjadi keutamaan dan pentadbir sistem berada dalam kawalan penuh.
Pemilik sistem boleh membuat polisi sendiri untuk pemeriksaan integriti dan menggunakan tandatangan dm-verity terbina dalam untuk mengesahkan kod.
Sebagai kesimpulan, projek baru ini membawa modul keselamatan Linux baru yang tidak dapat dilakukan oleh modul lain untuk melindungi sistem daripada pelaksanaan kod jahat.
Akhirnya Sekiranya anda ingin mengetahui lebih lanjut mengenai perincian modul baru ini dicadangkan oleh pembangun Microsoft, anda boleh menyemak perinciannya Dalam pautan berikut. Anda boleh menyemak kod sumber modul ini di pautan berikut.
Microsoft menakutkan saya ...
Microsoft ingin memeriksa integriti sistem Linux? LOL. Ia mesti menjadi jenaka
Linux tidak memerlukan mirdosoft.
Semua kerja anda sangat baik dan saya tidak membencinya, dunia Linux tidak menutup pintu kepada sesiapa pun dan semuanya dialu-alukan jika anda berbaris ke arah yang sama. Peeeeeeeero Saya suka bermain dengan nauseam iklan Linux saya, melakukan eksperimen, menyusun kernel saya, meringankannya dan mencari pengoptimuman. Dan saya sudah mempunyai telur suci uefi, bahawa saya harus mempunyai konfigurasi aneh di bios kerana ini, seolah-olah memasukkan lebih banyak kotoran ke dalam sistem dengan latar belakang yang sangat jelas.
Sekiranya mereka menginginkan Linux mereka akan membelanjakan wang sebenar tanpa mengharapkan untuk selalu membuat pemotongan, mereka akan menyediakan program pengguna yang besar dan mereka akan basah dalam projek untuk memaksa industri bergerak maju, melihat directx rasmi dan sumber terbuka atau memperuntukkan sumber untuk projek seperti jalan raya dan tidak menggoda di mana selalu ada cetakan yang baik untuk menyalin ciri Linux dan mencari dengan murah. Oleh kerana saya tidak mempercayai kesilapan dalam mencintai Linux, saya bosan dengan banyak pembohongan.