Microsoft предложила для ядра Linux модуль для проверки целостности системы

Представлены разработчики Microsoft недавно информация о внедрение механизма IPE (Обеспечение соблюдения политики добросовестности), реализован как модуль LSM (Модуль безопасности Linux) для ядра Linux.

Модуль будет позволяет определить общую политику целостности для всей системы, с указанием, какие операции допустимы и как следует проверять подлинность компонентов. С IPE, вы можете указать, какие исполняемые файлы можно запускать и убедитесь, что эти файлы идентичны версии, предоставленной надежным источником. Код открыт под лицензией MIT.

Ядро Linux поддерживает несколько LSM, включая SELinux (Linux с повышенной безопасностью) и AppArmor среди самых известных. Microsoft вносит свой вклад в Linux как техническая основа для различных инициатив и этот новый проект назвал его IPE (Обеспечение соблюдения политики добросовестности).

Это предназначено для усиления целостности кода ядра Linux, чтобы гарантировать, что «любой выполняемый код (или файлы, которые читаются) идентичен версии, созданной из надежного источника», - сообщила Microsoft на GitHub.

IPE стремится создавать полностью проверяемые системы чья целостность проверяется от загрузчика и ядра до конечных исполняемых файлов, конфигурации и загрузок.

В случае изменения или замены файла IPE может заблокировать операцию или зафиксировать факт нарушения целостности. Предлагаемый механизм может быть использован в прошивке для встраиваемых устройств, где все программное обеспечение и настройки собираются и предоставляются собственником, например, в дата-центрах Microsoft IPE используется в оборудовании для межсетевых экранов.

Хотя ядро В Linux уже есть несколько модулей для проверки целостность как IMA.

IPE специально предлагает проверку двоичного кода во время выполнения. Microsoft заявляет, что IPE отличается от других LSM несколькими способами, которые обеспечивают проверку целостности.

IPE также поддерживает успешные аудиты. При включении все события
которые передают политику IPE и не блокируются, генерируют событие аудита.

Этот новый модуль, предложенный Microsoft, это не то же самое, что и другие системы проверки целостности, например IMA. В IPE интересно то, что отличается по нескольким параметрам и не зависит от метаданных в файловой системе, кроме того, все свойства, определяющие допустимость операций, хранятся непосредственно в ядре.

Например, IPE не зависит от метаданных файловой системы и атрибутов, которые проверяет IPE. Кроме того, IPE не реализует какой-либо механизм для проверки файлов подписи IMA. Это потому, что в ядре Linux уже есть модули для него, такие как dm-verity.

То есть для проверки целостности содержимого файла с помощью криптографических хешейиспользуются уже существующие в ядре механизмы dm-verity или fs-verity.

По аналогии с SELinux, два режима работы - разрешительный и обязательный. В первом режиме журнал проблем ведется только при выполнении проверок, которые, например, можно использовать для предварительного тестирования среды.

«В идеале система, использующая IPE, не предназначена для общего использования на компьютере и не использует стороннее программное обеспечение или настройки», - сказал издатель.

Кроме того, LSM, продвигаемый Microsoft, предназначен для особых случаев., как встроенные системы, где безопасность является приоритетом, а системные администраторы полностью контролируют ситуацию.

Владельцы систем могут создавать свои собственные политики для проверки целостности и использовать встроенные подписи dm-verity для аутентификации кодов.

В заключение, новый проект представляет новый модуль безопасности Linux, который другие модули не могут использовать для защиты системы от выполнения вредоносного кода.

В конце концов Если вы хотите узнать больше о деталях этого нового модуля предложенных разработчиками Microsoft, вы можете уточнить детали По следующей ссылке. Вы можете проверить исходный код этого модуля в по следующей ссылке.