Microsoft zaproponował moduł dla jądra Linuksa do weryfikacji integralności systemu

Prezentacja deweloperów firmy Microsoft ostatnio informacje o wprowadzenie mechanizmu IPE (Egzekwowanie zasad uczciwości), zaimplementowany jako moduł LSM (Linux Security Module) dla jądra Linux.

Moduł będzie pozwala zdefiniować ogólną politykę integralności dla całego systemuwskazujące, które operacje są prawidłowe i jak należy zweryfikować autentyczność komponentów. Z IPE, możesz określić, które pliki wykonywalne mogą być uruchamiane i upewnij się, że te pliki są identyczne z wersją dostarczoną przez zaufane źródło. Kod jest otwarty na licencji MIT.

Jądro Linux obsługuje wiele LSM, w tym SELinux (Linux z ulepszonymi zabezpieczeniami) i AppArmor wśród najbardziej znanych. Microsoft wnosi wkład w Linuksie jako podstawa techniczna dla różnych inicjatyw i ten nowy projekt nazwał go IPE (Egzekwowanie zasad uczciwości).

Ma to na celu wzmocnienie integralności kodu dla jądra Linuksa, aby zapewnić, że „każdy uruchomiony kod (lub odczytywane pliki) jest identyczny z wersją utworzoną przez zaufane źródło” - powiedział Microsoft w serwisie GitHub.

Celem IPE jest tworzenie w pełni weryfikowalnych systemów których integralność jest weryfikowana od programu ładującego i jądra po końcowe pliki wykonywalne, konfigurację i pobieranie.

W przypadku zmiany lub wymiany pliku rozszerzenie IPE może zablokować operację lub zarejestrować fakt naruszenia integralności. Proponowany mechanizm może być zastosowany w oprogramowaniu sprzętowym dla urządzeń wbudowanych, w których całe oprogramowanie i ustawienia są gromadzone i dostarczane specjalnie przez właściciela, na przykład w centrach danych Microsoft IPE jest używane w sprzęcie do zapór ogniowych.

Chociaż jądro Linux ma już kilka modułów do weryfikacji integralność jak IMA.

W szczególności IPE oferuje weryfikację kodu binarnego w czasie wykonywania. Microsoft twierdzi, że IPE różni się od innych LSM na kilka sposobów, ponieważ zapewniają one weryfikację integralności.

IPE wspiera również udane audyty. Po włączeniu wszystkie zdarzenia
które spełniają zasady IPE i nie są blokowane, wyemitują zdarzenie inspekcji.

Ten nowy moduł zaproponowany przez Microsoft, nie jest tym samym, co inne systemy weryfikacji integralności, takie jak IMA. Interesującą rzeczą w IPE jest to różni się pod kilkoma względami i jest niezależny od metadanych w systemie plików, poza tym wszystkie właściwości określające ważność operacji są przechowywane bezpośrednio w jądrze.

Na przykład IPE nie zależy od metadanych systemu plików i atrybutów weryfikowanych przez IPE. Ponadto IPE nie implementuje żadnego mechanizmu weryfikowania plików podpisów IMA. Dzieje się tak, ponieważ jądro Linuksa ma już moduły, takie jak dm-verity.

Mam na myśli to weryfikacja integralności zawartości pliku przy użyciu skrótów kryptograficznych, używane są mechanizmy dm-verity lub fs-verity, które już istnieją w jądrze.

Analogicznie do SELinux, dwa tryby działania są dozwolone i obowiązkowe. W pierwszym trybie dziennik problemów jest tworzony tylko podczas przeprowadzania kontroli, który może służyć np. Do wstępnego testowania środowiska.

„W idealnym przypadku system korzystający z IPE nie jest przeznaczony do ogólnego użytku na komputerze i nie wykorzystuje oprogramowania ani ustawień innych firm” - powiedział wydawca.

Ponadto LSM promowane przez Microsoft jest przeznaczone do określonych przypadkówjako systemy wbudowane, w których bezpieczeństwo jest priorytetem, a administratorzy systemów mają pełną kontrolę.

Właściciele systemów mogą tworzyć własne zasady kontroli integralności i używać wbudowanych sygnatur dm-verity do uwierzytelniania kodów.

Podsumowując, nowy projekt wprowadza nowy moduł bezpieczeństwa Linuksa, którego inne moduły nie mogą zrobić, aby chronić system przed wykonaniem złośliwego kodu.

W końcu Jeśli chcesz dowiedzieć się więcej o szczegółach tego nowego modułu proponowane przez programistów Microsoft, możesz sprawdzić szczegóły W poniższym linku. Możesz sprawdzić kod źródłowy tego modułu w poniższy link.