Dezvoltatorii Microsoft au dezvăluit recent informații despre introducerea mecanismului IPE (Aplicarea politicii de integritate), implementat ca un modul LSM (Linux Security Module) pentru nucleul Linux.
Modulul va fi vă permite să definiți o politică generală de integritate pentru întregul sistem, indicând ce operațiuni sunt valabile și cum ar trebui verificată autenticitatea componentelor. Cu IPE, puteți specifica ce fișiere executabile pot fi rulate și asigurați-vă că aceste fișiere sunt identice cu versiunea furnizată de o sursă de încredere. Codul este deschis sub licența MIT.
Nucleu Linux acceptă mai multe LSM-uri, inclusiv SELinux (Linux cu securitate îmbunătățită) și AppArmor printre cele mai cunoscute. Microsoft contribuie la Linux ca bază tehnică pentru diverse inițiative iar acest nou proiect l-a numit IPE (Aplicarea politicii de integritate).
Acesta este conceput pentru a consolida integritatea codului pentru kernel-ul Linux, pentru a se asigura că „orice cod care rulează (sau fișierele care sunt citite) sunt identice cu versiunea creată de o sursă de încredere”, a spus Microsoft pe GitHub.
IPE își propune să creeze sisteme complet verificabile a cărei integritate este verificată de la bootloader și kernel la fișierele executabile finale, configurare și descărcări.
În cazul schimbării sau înlocuirii fișierului, fișierul IPE poate bloca operațiunea sau înregistra faptul încălcării integrității. Mecanismul propus poate fi utilizat în firmware pentru dispozitive încorporate în care toate software-urile și setările sunt colectate și furnizate în special de către proprietar, de exemplu, în centrele de date Microsoft, IPE este utilizat în echipamente pentru firewall-uri.
Deși nucleul de Linux are deja mai multe module de verificare integritate ca IMA.
IPE oferă în mod specific verificarea în timp de rulare a codului binar. Microsoft afirmă că IPE diferă de alte LSM-uri în mai multe moduri prin care asigură verificarea integrității.
IPE acceptă, de asemenea, audituri de succes. Când este activată, toate evenimentele
care trec politica IPE și nu sunt blocate vor emite un eveniment de audit.
Acest nou modul propus de Microsoft, nu este același lucru cu alte sisteme de verificare a integrității, precum IMA. Interesant despre IPE este că diferă în mai multe privințe și este independent de metadate în sistemul de fișiere, pe lângă faptul că toate proprietățile care determină validitatea operațiunilor sunt stocate direct în nucleu.
De exemplu, IPE nu depinde de metadatele și atributele sistemului de fișiere pe care IPE le verifică. De asemenea, IPE nu implementează niciun mecanism de verificare a fișierelor de semnătură IMA. Acest lucru se datorează faptului că nucleul Linux are deja module pentru acesta, cum ar fi dm-verity.
Adică asta pentru a verifica integritatea conținutului fișierului utilizând hash-uri criptografice, se folosesc mecanismele dm-verity sau fs-verity care există deja în nucleu.
Prin analogie cu SELinux, două moduri de funcționare sunt permisive și obligatorii. În primul mod, un jurnal de probleme se face numai atunci când se efectuează verificări, care, de exemplu, pot fi utilizate pentru testarea preliminară a mediului.
„În mod ideal, un sistem care utilizează IPE nu este destinat utilizării generale a computerului și nu folosește software sau setări de la terți”, a spus editorul.
În plus, LSM promovat de Microsoft este conceput pentru cazuri specifice, ca sisteme încorporate, în care securitatea este o prioritate, iar administratorii de sistem sunt în control deplin.
Proprietarii de sistem își pot crea propriile politici pentru verificarea integrității și pot utiliza semnături dm-verity încorporate pentru autentificarea codurilor.
În concluzie, noul proiect aduce un nou modul de securitate Linux pe care alte module nu îl pot face pentru a proteja sistemul de executarea unui cod rău intenționat.
În cele din urmă Dacă doriți să aflați mai multe despre detaliile acestui nou modul propus de dezvoltatorii Microsoft, puteți verifica detaliile În următorul link. Puteți verifica codul sursă al acestui modul în următorul link.
Microsoft mă sperie ...
Microsoft vrea să verifice integritatea sistemului Linux? LAUGH OUT LOUD . Trebuie să fie o glumă
Linux nu are nevoie de mirdosoft.
Toată munca ta este foarte bună și nu o disprețuiesc, lumea Linux nu își închide ușile nimănui și totul este binevenit dacă vâslești în aceeași direcție. Peeeeeeeero Îmi place să joc cu Linux-ul meu, să fac experimente, să-mi compilez nucleele, să le ușurez și să caut optimizări. Și am avut deja ouăle sacre uefi, că trebuie să am configurații ciudate în bios din această cauză, ca și când aș pune mai multe rahaturi în sistem cu un fundal foarte clar.
Dacă ar dori Linux, ar cheltui bani reali fără să se aștepte să facă întotdeauna o reducere, ar oferi programe de utilizator mari și s-ar uda în proiecte care să oblige industria să avanseze, să vadă un directx oficial și open source sau să aloce resurse proiectelor cum ar fi wayland și nu flirturi în care există întotdeauna o amprentă fină pentru a copia caracteristicile Linux și a scrii ieftin. Că nu cred eroarea aceea de a iubi Linux, m-am săturat de atâtea minciuni.