Мицрософт је предложио модул за Линук језгро како би потврдио интегритет система

Представљени Мицрософт програмери недавно информације о увођење ИПЕ механизма (Спровођење политике интегритета), имплементиран као ЛСМ модул (Линук сигурносни модул) за Линук кернел.

Модул ће омогућава вам да дефинишете општу политику интегритета за цео систем, назначујући које су операције валидне и како треба проверити аутентичност компонената. Са ИПЕ, можете одредити које извршне датотеке се могу покретати и уверите се да су ове датотеке идентичне верзији коју пружа поуздани извор. Код је отворен под лиценцом МИТ.

Кернел Линук подржава више ЛСМ-ова, укључујући СЕЛинук (Линук са повећаном сигурношћу) и АппАрмор међу најпознатијим. Мицрософт доприноси Линук-у као техничку основу за разне иницијативе и овај нови пројекат га је назвао ИПЕ (Извршење политике интегритета).

Ово је дизајнирано да ојача интегритет кода за Линук језгро, како би се осигурало да су "било који код покренут (или датотеке које се читају) идентични верзији коју је створио поуздан извор", рекао је Мицрософт на ГитХуб-у.

ИПЕ има за циљ стварање потпуно проверљивих система чији се интегритет проверава од покретачког програма и кернела до коначних извршних датотека, конфигурације и преузимања.

У случају промене или замене датотеке, ИПЕ може блокирати операцију или забележити чињеницу кршења интегритета. Предложени механизам се може користити у фирмверу за уграђене уређаје где сав софтвер и поставке прикупља и обезбеђује посебно власник, на пример, у Мицрософт дата центрима, ИПЕ се користи у опреми за заштитне зидове.

Иако је језгро Линук већ има неколико модула за верификацију интегритет као ИМА.

ИПЕ посебно нуди проверу бинарног кода током извођења. Мицрософт наводи да се ИПЕ разликује од осталих ЛСМ-ова на неколико начина по томе што пружају верификацију интегритета.

ИПЕ такође подржава успешне ревизије. Када је омогућено, сви догађаји
који прођу ИПЕ политику и нису блокирани, емитоваће догађај ревизије.

Овај нови модул који је предложио Мицрософт, није исто што и други системи за верификацију интегритета, као што је ИМА. Занимљивост ИПЕ-а је та разликује се у неколико аспеката и независан је од метаподатака у систему датотека, поред тога што се сва својства која одређују валидност операција чувају директно у језгру.

На пример, ИПЕ не зависи од метаподатака система датотека и атрибута које ИПЕ верификује. Такође, ИПЕ не примењује ниједан механизам за верификацију ИМА датотека потписа. То је зато што Линук кернел већ има модуле за то, као што је дм-верити.

Мислим то да бисте проверили интегритет садржаја датотеке помоћу криптографских хеша, користе се дм-верити или фс-верити механизми који већ постоје у језгру.

По аналогији са СЕЛинук-ом, два начина рада су дозвољена и обавезна. У првом режиму евиденција проблема се прави само приликом вршења провера, које се, на пример, могу користити за прелиминарна испитивања околине.

„У идеалном случају, систем који користи ИПЕ није намењен општој употреби рачунара и не користи независни софтвер или подешавања“, рекао је издавач.

Поред тога, ЛСМ који промовише Мицрософт дизајниран је за одређене случајеве, као уграђени системи, где је безбедност приоритет и администратори система имају потпуну контролу.

Власници система могу креирати сопствене политике за проверу интегритета и користити уграђене дм-верити потписе за аутентификацију кодова.

Да закључимо, нови пројекат доноси нови Линук сигурносни модул који други модули не могу да учине како би заштитили систем од извршавања злонамерног кода.

Коначно Ако желите да сазнате више о детаљима овог новог модула које су предложили програмери Мицрософт-а, можете проверити детаље У следећем линку. Изворни код овог модула можете проверити у следећи линк.