Microsoft-ontwikkelaars onthuld recent informatie over de introductie van het IPE-mechanisme (Handhaving integriteitsbeleid), geïmplementeerd als een LSM-module (Linux Security Module) voor de Linux-kernel.
De module zal stelt u in staat om een algemeen integriteitsbeleid te definiëren voor het hele systeem, waarmee wordt aangegeven welke bewerkingen geldig zijn en hoe de authenticiteit van de componenten moet worden geverifieerd. Met IPE, u kunt specificeren welke uitvoerbare bestanden kunnen worden uitgevoerd en zorg ervoor dat deze bestanden identiek zijn aan de versie die door een vertrouwde bron wordt geleverd. De code is open onder de MIT-licentie.
Kernel Linux ondersteunt meerdere LSM's, inclusief SELinux (Linux met verbeterde beveiliging) en AppArmor behoren tot de bekendste. Microsoft draagt bij op Linux als technische basis voor verschillende initiatieven en dit nieuwe project heeft het IPE genoemd (Handhaving integriteitsbeleid).
Dit is ontworpen om de integriteit van de code voor de Linux-kernel te versterken, om ervoor te zorgen dat "elke code die wordt uitgevoerd (of bestanden die worden gelezen) identiek is aan de versie die is gemaakt door een vertrouwde bron", zei Microsoft op GitHub.
IPE streeft ernaar om volledig verifieerbare systemen te creëren waarvan de integriteit wordt geverifieerd van bootloader en kernel tot de uiteindelijke uitvoerbare bestanden, configuratie en downloads.
In het geval van een bestandswijziging of vervanging, kan het IPE kan de operatie blokkeren of het feit van integriteitsschending registreren. Het voorgestelde mechanisme kan worden gebruikt in firmware voor embedded apparaten waar alle software en instellingen worden verzameld en met name door de eigenaar worden verstrekt, bijvoorbeeld in datacentra van Microsoft wordt IPE gebruikt in apparatuur voor firewalls.
Hoewel de kern van Linux heeft al verschillende modules ter verificatie integriteit als IMA.
IPE biedt specifiek runtime-verificatie van binaire code. Microsoft stelt dat IPE op verschillende manieren verschilt van andere LSM's dat ze integriteitsverificatie bieden.
IPE ondersteunt ook succesvolle audits. Indien ingeschakeld, alle evenementen
die voldoen aan het IPE-beleid en niet worden geblokkeerd, zullen een auditgebeurtenis uitzenden.
Deze nieuwe module voorgesteld door Microsoft, het is niet hetzelfde als andere integriteitsverificatiesystemen, zoals IMA. Het interessante van IPE is dat verschilt in meerdere opzichten en is onafhankelijk van metadata in het bestandssysteem, daarnaast worden alle eigenschappen die de geldigheid van de bewerkingen bepalen direct in de kernel opgeslagen.
IPE is bijvoorbeeld niet afhankelijk van de metagegevens en kenmerken van het bestandssysteem die IPE verifieert. IPE implementeert ook geen enkel mechanisme om IMA-handtekeningbestanden te verifiëren. Dit komt doordat de Linux-kernel er al modules voor heeft, zoals dm-verity.
Dat meen ik om de integriteit van de bestandsinhoud te verifiëren met behulp van cryptografische hashesworden de dm-verity- of fs-verity-mechanismen gebruikt die al in de kernel bestaan.
Naar analogie met SELinux zijn twee werkingsmodi toelaatbaar en verplicht. In de eerste modus wordt alleen een probleemlog gemaakt bij het uitvoeren van controles, die bijvoorbeeld kunnen worden gebruikt voor het vooraf testen van de omgeving.
"Idealiter is een systeem dat gebruikmaakt van IPE niet bedoeld voor algemeen computergebruik en maakt het geen gebruik van software of instellingen van derden", aldus de uitgever.
Bovendien is de LSM, gepromoot door Microsoft, is ontworpen voor specifieke gevallen, als embedded systemen, waarbij beveiliging een prioriteit is en systeembeheerders de volledige controle hebben.
Systeemeigenaren kunnen hun eigen beleid maken voor integriteitscontroles en ingebouwde dm-verity-handtekeningen gebruiken om codes te authenticeren.
Tot slot brengt het nieuwe project een nieuwe Linux-beveiligingsmodule die andere modules niet kunnen gebruiken om het systeem te beschermen tegen de uitvoering van kwaadaardige code.
Eindelijk Als u meer wilt weten over de details van deze nieuwe module voorgesteld door Microsoft-ontwikkelaars, kunt u de details bekijken In de volgende link. U kunt de broncode van deze module controleren in de volgende link.
Microsoft maakt me bang ...
Microsoft wil de integriteit van het Linux-systeem controleren? LOL . Het moet een grap zijn
Linux heeft mirdosoft niet nodig.
Al je werk is erg goed en ik veracht het niet, de Linux-wereld sluit voor niemand zijn deuren en alles is welkom als je in dezelfde richting roeit. Peeeeeeeero Ik hou van rotzooien met mijn Linux tot vervelens toe, experimenten doen, mijn kernels compileren, ze lichter maken en op zoek gaan naar optimalisaties. En ik had al de heilige eieren de uefi, dat ik hierdoor vreemde configuraties in de bios moet hebben, alsof ik meer shit in het systeem wil stoppen met een heel duidelijke achtergrond.
Als ze Linux wilden, zouden ze echt geld uitgeven in de verwachting dat ze niet altijd zouden bezuinigen, zouden ze geweldige gebruikersprogramma's bieden en zouden ze nat worden in projecten om de industrie te dwingen vooruit te gaan, een officiële en open source directx te zien of middelen toe te wijzen aan projecten zoals wayland en niet flirtations waar er altijd kleine lettertjes zijn om Linux-functies te kopiëren en goedkoop te scharrelen. Dat ik die misvatting over het liefhebben van Linux niet geloof, ik ben moe van zoveel leugens.