Zhvilluesit e Microsoft zbuluan kohët e fundit informacion në lidhje me prezantimi i mekanizmit IPE (Zbatimi i politikës së integritetit), implementuar si një modul LSM (Moduli i Sigurisë Linux) për kernelin Linux.
Moduli do ju lejon të përcaktoni një politikë të përgjithshme të integritetit për të gjithë sistemin, duke treguar se cilat operacione janë të vlefshme dhe si duhet të verifikohet origjinaliteti i përbërësve. Me IPE, ju mund të specifikoni se cilat skedarë të ekzekutueshëm mund të ekzekutohen dhe sigurohuni që këto skedarë janë identike me versionin e siguruar nga një burim i besuar. Kodi është i hapur nën licencën MIT.
Kernel Linux mbështet shumë LSM, përfshirë SELinux (Linux me siguri të shtuar) dhe AppArmor ndër më të njohurit. Microsoft kontribuon në Linux si bazë teknike për iniciativa të ndryshme dhe ky projekt i ri e ka emëruar atë si IPE (Zbatimi i politikës së integritetit).
Kjo është krijuar për të forcuar integritetin e kodit për kernelin Linux, për të siguruar që "çfarëdo kodi që ekzekutohet (ose skedarët që lexohen) janë identikë me versionin e krijuar nga një burim i besuar", tha Microsoft në GitHub.
IPE synon të krijojë sisteme plotësisht të verifikueshme integriteti i të cilit verifikohet nga bootloader dhe kernel deri te skedarët përfundimtarë të ekzekutueshëm, konfigurimi dhe shkarkimet.
Në rast të një ndryshimi ose zëvendësimi të skedarit, IPE mund të bllokojë operacionin ose të regjistrojë faktin e shkeljes së integritetit. Mekanizmi i propozuar mund të përdoret në firmware për pajisjet e ngulitura ku i gjithë programi kompjuterik dhe cilësimet janë mbledhur dhe siguruar veçanërisht nga pronari, për shembull, në qendrat e të dhënave të Microsoft, IPE përdoret në pajisjet për muret e zjarrit.
Edhe pse thelbi i Linux tashmë ka disa module për verifikim integriteti si IMA.
IPE posaçërisht ofron verifikimin gjatë kohës së ekzekutimit të kodit binar. Microsoft deklaron që IPE ndryshon nga LSM-të e tjera në disa mënyra që ato ofrojnë verifikimin e integritetit.
IPE gjithashtu mbështet auditime të suksesshme. Kur aktivizohen, të gjitha ngjarjet
që kalojnë politikën IPE dhe nuk janë të bllokuar do të lëshojnë një ngjarje auditimi.
Ky modul i ri i propozuar nga Microsoft, nuk është e njëjtë me sistemet e tjera të verifikimit të integritetit, siç është IMA. Gjëja interesante për IPE është se ndryshon në disa aspekte dhe është i pavarur nga metadata në sistemin e skedarëve, përveç kësaj të gjitha vetitë që përcaktojnë vlefshmërinë e operacioneve ruhen direkt në kernel.
Për shembull, IPE nuk varet nga meta të dhënat e sistemit të skedarëve dhe atributet që IPE verifikon. Gjithashtu, IPE nuk zbaton asnjë mekanizëm për të verifikuar skedarët e nënshkrimit IMA. Kjo sepse kerneli Linux tashmë ka module për të, siç është dm-vërtetësia.
Dua te them për të verifikuar integritetin e përmbajtjes së skedarit duke përdorur hashe kriptografikë, përdoren mekanizmat e vërtetësisë dm ose të vërtetësisë që ekzistojnë tashmë në bërthamë.
Për analogji me SELinux, dy mënyra të funksionimit janë lejuese dhe të detyrueshme. Në mënyrën e parë, një regjistër problemesh bëhet vetëm kur kryen kontrolle, të cilat, për shembull, mund të përdoren për testimin paraprak të mjedisit.
"Idealisht, një sistem që përdor IPE nuk ka për qëllim përdorimin e përgjithshëm të kompjuterit dhe nuk përdor softuer ose cilësime të palëve të treta," tha botuesi.
Për më tepër, LSM e promovuar nga Microsoft është krijuar për raste specifike, si sisteme të ngulitura, ku siguria është një përparësi dhe administratorët e sistemit janë në kontroll të plotë.
Pronarët e sistemit mund të krijojnë politikat e tyre për kontrollet e integritetit dhe të përdorin nënshkrime të integruara të dm për të vërtetuar kodet.
Për të përfunduar, projekti i ri sjell një modul të ri të sigurisë Linux që modulet e tjerë nuk mund ta bëjnë për të mbrojtur sistemin nga ekzekutimi i kodit me qëllim të keq.
Më në fund Nëse doni të dini më shumë rreth detajeve të këtij moduli të ri propozuar nga zhvilluesit e Microsoft, mund të kontrolloni detajet Në lidhjen vijuese. Ju mund të kontrolloni kodin burimor të këtij moduli në lidhja e mëposhtme.
Microsoft më frikëson ...
Microsoft dëshiron të kontrollojë integritetin e sistemit Linux? LOL Duhet të jetë shaka
Linux nuk ka nevojë për mirdosoft.
E gjithë puna juaj është shumë e mirë dhe unë nuk e përçmoj atë, bota Linux nuk i mbyll dyert për askënd dhe gjithçka është e mirëpritur nëse vozitni në të njëjtin drejtim. Peeeeeeeero Më pëlqen të ngatërrohem me reklamën time Linux nauseam, të bëj eksperimente, të përpiloj bërthamat e mia, t'i lehtësoj dhe të shikoj për optimizime. Dhe unë tashmë kisha vezët e shenjta uefi, që duhet të kem konfigurime të çuditshme në bios për shkak të kësaj, si për të futur më shumë mut në sistem me një sfond shumë të qartë.
Nëse ata do të donin Linux ata do të shpenzonin para të vërteta duke mos pritur të bënin gjithmonë një prerje, ata do të ofronin programe të shkëlqyera për përdoruesit dhe ata do të lageshin në projekte për të detyruar industrinë të ecte përpara, të shihte një drejtpërdrejtë zyrtar dhe me burim të hapur ose të ndanin burime për projekte si wayland dhe jo flirte ku ka gjithmonë shtypje të imët për të kopjuar tiparet e Linux dhe për të mashtruar me çmim të ulët. Se nuk e besoj atë gabim në lidhje me dashurinë për Linux, jam lodhur nga kaq shumë gënjeshtra.