Inilantad ang mga developer ng Microsoft kamakailang impormasyon tungkol sa ang pagpapakilala ng mekanismo ng IPE (Pagpapatupad ng Patakaran sa Integridad), ipinatupad bilang isang module ng LSM (Linux Security Module) para sa Linux kernel.
Ang modyul ay Pinapayagan kang tukuyin ang isang pangkalahatang patakaran sa integridad para sa buong system, na nagpapahiwatig kung aling mga pagpapatakbo ang wasto at kung paano dapat mapatunayan ang pagiging tunay ng mga bahagi. Sa IPE, maaari mong tukuyin kung aling maipapatupad na mga file ang maaaring patakbuhin at tiyakin na ang mga file na ito ay magkapareho sa bersyon na ibinigay ng isang pinagkakatiwalaang mapagkukunan. Ang code ay bukas sa ilalim ng lisensya ng MIT.
Kernel Sinusuportahan ng Linux ang maraming mga LSM, kabilang ang SELinux (Linux na may pinahusay na seguridad) at AppArmor kabilang sa mga pinaka kilala. Nag-aambag ang Microsoft sa Linux bilang batayang panteknikal para sa iba`t ibang mga pagkukusa at ang bagong proyekto ay pinangalanan ito bilang IPE (Pagpapatupad ng Patakaran sa Integridad).
Dinisenyo ito upang palakasin ang integridad ng code para sa Linux kernel, upang matiyak na "ang anumang code na tumatakbo (o mga file na binabasa) ay magkapareho sa bersyon na nilikha ng isang pinagkakatiwalaang mapagkukunan," sinabi ng Microsoft sa GitHub.
Nilalayon ng IPE na lumikha ng mga ganap na napatunayan na mga system na ang integridad ay na-verify mula sa bootloader at kernel hanggang sa huling maipapatupad na mga file, pagsasaayos at pag-download.
Sa kaganapan ng isang pagbabago ng file o kapalit, ang Maaaring hadlangan ng IPE ang operasyon o maitala ang katotohanan ng paglabag sa integridad. Ang iminungkahing mekanismo ay maaaring magamit sa firmware para sa mga naka-embed na aparato kung saan ang lahat ng software at setting ay nakolekta at ibinibigay lalo na ng may-ari, halimbawa, sa mga sentro ng data ng Microsoft, ginagamit ang IPE sa kagamitan para sa mga firewall.
Bagaman ang kernel ng Ang Linux ay mayroon nang maraming mga module para sa pag-verify integridad bilang IMA.
Partikular na nag-aalok ang IPE ng runtime verification ng binary code. Sinasabi ng Microsoft na ang IPE ay naiiba sa iba pang mga LSM sa maraming paraan na nagbibigay sila ng pagpapatunay sa integridad.
Sinusuportahan din ng IPE ang matagumpay na mga pag-audit. Kapag pinagana, lahat ng mga kaganapan
na pumasa sa patakaran ng IPE at hindi na-block ay magpapalabas ng isang kaganapan sa pag-audit.
Ang bagong module na ito na iminungkahi ng Microsoft, hindi ito pareho sa iba pang mga sistema ng pagpapatunay ng integridad, tulad ng IMA. Ang kagiliw-giliw na bagay tungkol sa IPE ay iyon naiiba sa maraming aspeto at malaya sa metadata sa filesystem, bukod sa lahat ng mga pag-aari na tumutukoy sa bisa ng mga pagpapatakbo ay nakaimbak nang direkta sa kernel.
Halimbawa, ang IPE ay hindi nakasalalay sa metadata ng file system at mga katangian na napatunayan ng IPE. Gayundin, ang IPE ay hindi nagpapatupad ng anumang mekanismo upang mapatunayan ang mga file ng lagda ng IMA. Ito ay dahil ang Linux kernel ay mayroon nang mga module para dito, tulad ng dm-verity.
Ang ibig kong sabihin upang mapatunayan ang integridad ng nilalaman ng file gamit ang mga cryptographic hashes, ginagamit ang mga mekanismo ng dm-verity o fs-verity na mayroon nang kernel.
Sa pamamagitan ng pagkakatulad sa SELinux, ang dalawang mga mode ng pagpapatakbo ay pinapayagan at ipinag-uutos. Sa unang mode, ang isang log ng problema ay ginawa lamang kapag gumaganap ng mga tseke, na, halimbawa, ay maaaring magamit para sa paunang pagsubok sa kapaligiran.
"Sa isip, ang isang sistema na gumagamit ng IPE ay hindi inilaan para sa pangkalahatang paggamit ng computer at hindi gumagamit ng software ng mga third-party o setting," sabi ng publisher.
Dagdag dito, ang Ang LSM na isinulong ng Microsoft ay idinisenyo para sa mga partikular na kaso, bilang naka-embed na mga system, kung saan ang seguridad ay isang priyoridad at ang mga tagapangasiwa ng system ay nasa buong kontrol.
Ang mga may-ari ng system ay maaaring lumikha ng kanilang sariling mga patakaran para sa mga pagsusuri ng integridad at gumamit ng mga built-in na dm-verity na lagda upang patunayan ang mga code.
Upang tapusin, ang bagong proyekto ay nagdadala ng isang bagong module ng seguridad ng Linux na hindi maaaring gawin ng iba pang mga module upang maprotektahan ang system mula sa pagpapatupad ng nakakahamak na code.
Sa wakas Kung nais mong malaman ang tungkol sa mga detalye ng bagong module iminungkahi ng mga developer ng Microsoft, maaari mong suriin ang mga detalye Sa sumusunod na link. Maaari mong suriin ang source code ng modyul na ito sa ang sumusunod na link.
Natatakot ako ng Microsoft ...
Nais ng Microsoft na suriin ang integridad ng Linux system? LOL . Ito ay dapat na isang biro
Hindi kailangan ng Linux ng mirdosoft.
Ang lahat ng iyong trabaho ay napakahusay at hindi ko ito minamaliit, ang mundo ng Linux ay hindi isinasara ang mga pinto nito sa sinuman at ang lahat ay malugod kung magkakasunod ka sa parehong direksyon. Peeeeeeeero Gusto ko ng tinkering sa aking Linux ad na pagduwal, paggawa ng mga eksperimento, pag-iipon ng aking mga kernel, pag-iilaw sa kanila at pagtingin sa mga pag-optimize. At mayroon na akong mga sagradong itlog ng uefi, na kailangan kong magkaroon ng mga kakaibang pagsasaayos sa mga bios dahil dito, na parang maglalagay ng higit na tae sa system na may isang malinaw na background.
Kung nais nila ang Linux ay gagasta sila ng totoong pera na hindi inaasahan na palaging gagawas, magbibigay sila ng malalaking programa ng gumagamit at mamamasa sila sa mga proyekto upang pilitin ang industriya na sumulong, tingnan ang isang opisyal at bukas na mapagkukunang direktiba o maglaan ng mga mapagkukunan sa mga proyekto tulad ng wayland at hindi pang-aakit kung saan laging may pinong print upang kopyahin ang mga tampok ng Linux at mag-scrounge nang mura. Na hindi ako naniniwala na ang kamalian tungkol sa pagmamahal sa Linux, pagod na ako sa napakaraming kasinungalingan.