Microsoft-utviklere avduket nylig informasjon om innføringen av IPE-mekanismen (Håndhevelse av integritetspolitikk), implementert som en LSM-modul (Linux Security Module) for Linux-kjernen.
Modulen vil lar deg definere en generell integritetspolicy for hele systemet, som angir hvilke operasjoner som er gyldige og hvordan komponentenes ekthet skal verifiseres. Med IPE, du kan spesifisere hvilke kjørbare filer som kan kjøres og sørg for at disse filene er identiske med versjonen fra en klarert kilde. Koden er åpen under MIT-lisensen.
Kjerne Linux støtter flere LSM-er, inkludert SELinux (Linux med forbedret sikkerhet) og AppArmor blant de mest kjente. Microsoft bidrar på Linux som det tekniske grunnlaget for ulike tiltak og dette nye prosjektet har kalt det IPE (Håndhevelse av integritetspolitikk).
Dette er designet for å styrke integriteten til koden for Linux-kjernen, for å sikre at "hvilken som helst kode som kjører (eller filer som blir lest) er identisk med versjonen som er opprettet av en klarert kilde," sa Microsoft på GitHub.
IPE tar sikte på å lage fullt verifiserbare systemer hvis integritet er bekreftet fra bootloader og kjerne til endelige kjørbare filer, konfigurasjon og nedlastinger.
I tilfelle en filendring eller erstatning, vil IPE kan blokkere operasjonen eller registrere faktumet om brudd på integriteten. Den foreslåtte mekanismen kan brukes i fastvare for innebygde enheter der all programvare og innstillinger samles inn og leveres spesielt av eieren, for eksempel i Microsoft datasentre, IPE brukes i utstyr for brannmurer.
Selv om kjernen til Linux har allerede flere moduler for verifisering integritet som IMA.
IPE tilbyr spesifikt kjøretidsverifisering av binær kode. Microsoft oppgir at IPE skiller seg fra andre LSM-er på flere måter at de gir integritetsverifisering.
IPE støtter også vellykkede revisjoner. Når aktivert, alle hendelser
som overholder IPE-policyen og ikke er blokkert, sender ut en revisjonshendelse.
Denne nye modulen foreslått av Microsoft, det er ikke det samme som andre integritetsverifiseringssystemer, slik som IMA. Det interessante med IPE er at skiller seg i flere henseender og er uavhengig av metadata i filsystemet, i tillegg til at alle egenskapene som bestemmer gyldigheten av operasjonene lagres direkte i kjernen.
For eksempel er IPE ikke avhengig av filsystemets metadata og attributter som IPE verifiserer. IPE implementerer heller ikke noen mekanisme for å verifisere IMA-signaturfiler. Dette er fordi Linux-kjernen allerede har moduler for den, for eksempel dm-verity.
Det er for å verifisere integriteten til filinnholdet ved hjelp av kryptografiske hashes, brukes dm-verity- eller fs-verity-mekanismene som allerede finnes i kjernen.
I analogi med SELinux er to driftsmåter tillatelige og obligatoriske. I den første modusen blir det bare laget en problemlogg når du utfører kontroller, som for eksempel kan brukes til innledende tester av miljøet.
"Ideelt sett er et system som bruker IPE ikke ment for generell datamaskinbruk og bruker ikke tredjeparts programvare eller innstillinger," sa forleggeren.
Videre LSM markedsført av Microsoft er designet for spesifikke saker, som innebygde systemer, der sikkerhet er prioritert og systemadministratorer har full kontroll.
Systemeiere kan lage sine egne policyer for integritetskontroll og bruke innebygde dm-verity-signaturer for å autentisere koder.
For å avslutte, det nye prosjektet bringer en ny Linux-sikkerhetsmodul som andre moduler ikke kan gjøre for å beskytte systemet mot kjøring av skadelig kode.
Endelig Hvis du vil vite mer om detaljene i denne nye modulen foreslått av Microsoft-utviklere, kan du sjekke detaljene I den følgende lenken. Du kan sjekke kildekoden til denne modulen i følgende lenke.
Microsoft skremmer meg ...
Microsoft ønsker å sjekke integriteten til Linux-systemet? LOL. Det må være en vits
Linux trenger ikke mirdosoft.
Alt arbeidet ditt er veldig bra, og jeg forakter det ikke, Linux-verdenen lukker ikke dørene for noen, og alt er velkomment hvis du roer i samme retning. Peeeeeeeero Jeg liker å fikle med min Linux-annonse nauseam, gjøre eksperimenter, kompilere kjernene mine, lette dem og lete etter optimaliseringer. Og jeg hadde allerede de hellige eggene uefi, at jeg må ha rare konfigurasjoner i biografiene på grunn av dette, som for å legge mer dritt i systemet med en veldig klar bakgrunn.
Hvis de ønsket Linux, ville de bruke ekte penger på ikke å forvente å alltid kutte, de ville tilby store brukerprogrammer, og de ville bli våte i prosjekter for å tvinge bransjen til å gå videre, se en offisiell og åpen kildekode-direksjon eller tildele ressurser til prosjekter som wayland og ikke flørt der det alltid er fint trykk for å kopiere Linux-funksjoner og skrape billig. At jeg ikke tror den feilslutningen om å elske Linux, er jeg lei av så mange løgner.