Microsoft geliştiricileri açıkladı son zamanlarda hakkında bilgi IPE mekanizmasının tanıtımı (Dürüstlük Politikasının Uygulanması), LSM modülü olarak uygulanmıştır Linux çekirdeği için (Linux Güvenlik Modülü).
Modül olacak tüm sistem için genel bir bütünlük politikası tanımlamanıza izin verirhangi işlemlerin geçerli olduğunu ve bileşenlerin gerçekliğinin nasıl doğrulanması gerektiğini belirtir. IPE ile, hangi yürütülebilir dosyaların çalıştırılabileceğini belirtebilirsiniz ve bu dosyaların güvenilir bir kaynak tarafından sağlanan sürümle aynı olduğundan emin olun. Kod, MIT lisansı altında açıktır.
Çekirdek Linux birden fazla LSM'yi destekler, SELinux (gelişmiş güvenliğe sahip Linux) ve AppArmor dahil en iyi bilinenler arasında. Microsoft, Linux'a katkıda bulunuyor çeşitli girişimler için teknik temel olarak ve bu yeni proje onu IPE olarak adlandırdı (Dürüstlük Politikasının Uygulanması).
Microsoft, GitHub'da "bu, çalışan kodun (veya okunan dosyaların) güvenilir bir kaynak tarafından oluşturulan sürümle aynı olmasını" sağlamak için Linux çekirdeği için kod bütünlüğünü güçlendirmek için tasarlandı.
IPE, tamamen doğrulanabilir sistemler oluşturmayı amaçlamaktadır bütünlüğü bootloader ve çekirdekten son yürütülebilir dosyalara, yapılandırmaya ve indirmelere kadar doğrulanır.
Bir dosya değişikliği veya değiştirme durumunda, IPE işlemi engelleyebilir veya bütünlük ihlali gerçeğini kaydedebilir. Önerilen mekanizma, tüm yazılım ve ayarların toplandığı ve özellikle sahibi tarafından sağlanan gömülü cihazlar için bellenimde kullanılabilir, örneğin Microsoft veri merkezlerinde IPE, güvenlik duvarları için ekipmanlarda kullanılır.
Çekirdeği olmasına rağmen Linux zaten doğrulama için birkaç modüle sahip IMA olarak bütünlük.
IPE özellikle ikili kodun çalışma zamanı doğrulamasını sunar. Microsoft, IPE'nin bütünlük doğrulaması sağladıkları için diğer LSM'lerden farklı olduğunu belirtmektedir.
IPE ayrıca başarılı denetimleri de destekler. Etkinleştirildiğinde, tüm etkinlikler
IPE politikasını geçen ve engellenmeyenler bir denetim olayı yayınlayacaktır.
Microsoft tarafından önerilen bu yeni modül, diğer bütünlük doğrulama sistemleriyle aynı değildir, IMA gibi. IPE ile ilgili ilginç olan şey şudur: birkaç açıdan farklılık gösterir ve meta verilerden bağımsızdır dosya sisteminde işlemlerin geçerliliğini belirleyen tüm özellikler doğrudan çekirdekte saklanır.
Örneğin IPE, dosya sistemi meta verilerine ve IPE'nin doğruladığı özniteliklere bağlı değildir. Ayrıca IPE, IMA imza dosyalarını doğrulamak için herhangi bir mekanizma uygulamaz. Bunun nedeni, Linux çekirdeğinin dm-verity gibi zaten modüllere sahip olmasıdır.
Yani kriptografik karmalar kullanarak dosya içeriğinin bütünlüğünü doğrulamak içinçekirdekte zaten var olan dm-verity veya fs-verity mekanizmaları kullanılır.
SELinux ile benzer şekilde, iki çalışma modu izin verilir ve zorunludur. İlk modda, örneğin ortamın ön testleri için kullanılabilen kontroller gerçekleştirilirken bir sorun günlüğü oluşturulur.
Yayıncı, "İdeal olarak, IPE kullanan bir sistem genel bilgisayar kullanımı için tasarlanmamıştır ve üçüncü taraf yazılım veya ayarlarını kullanmaz" dedi.
Ayrıca, Microsoft tarafından tanıtılan LSM, belirli durumlar için tasarlanmıştır, güvenliğin öncelikli olduğu ve sistem yöneticilerinin tam denetimde olduğu gömülü sistemler olarak.
Sistem sahipleri, bütünlük kontrolleri için kendi politikalarını oluşturabilir ve kodları doğrulamak için yerleşik dm-verity imzalarını kullanabilir.
Sonuç olarak, yeni proje, sistemi kötü niyetli kodların yürütülmesine karşı korumak için diğer modüllerin yapamayacağı yeni bir Linux güvenlik modülü getiriyor.
Nihayet Bu yeni modülün ayrıntıları hakkında daha fazla bilgi edinmek istiyorsanız Microsoft geliştiricileri tarafından önerilen ayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda. Bu modülün kaynak kodunu şuradan kontrol edebilirsiniz: aşağıdaki bağlantı.
Microsoft beni korkutuyor ...
Microsoft, Linux sisteminin bütünlüğünü kontrol etmek mi istiyor? LOL. Şaka olmalı
Linux, mirdosoft'a ihtiyaç duymaz.
Tüm çalışmalarınız çok iyi ve ben onu küçümsemiyorum, Linux dünyası kapılarını kimseye kapatmıyor ve aynı yönde kürek çekerseniz her şey hoş karşılanıyor. Peeeeeeeero Linux reklamımı karıştırmayı, deneyler yapmayı, çekirdeklerimi derlemeyi, onları hafifletmeyi ve optimizasyonları araştırmayı seviyorum. Ve zaten uefi kutsal yumurtalara sahiptim, bu yüzden bios'ta garip konfigürasyonlara sahip olmam gerekiyor, sanki çok net bir arka plana sahip sisteme daha fazla pislik koyacakmış gibi.
Linux istiyorlarsa, her zaman kesinti yapmayı beklemeden gerçek para harcayacaklar, harika kullanıcı programları sunacaklar ve sektörü ilerlemeye, resmi ve açık kaynaklı bir doğrudan görmeye veya projelere kaynak ayırmaya zorlamak için projelerde ıslanacaklardı. Linux özelliklerini kopyalamak ve ucuza scrounge yapmak için her zaman ince baskıların olduğu flörtler değil, wayland gibi. Linux'u bu safsataya sevmediğime inanmadığım için, bu kadar çok yalandan zaten bıktım.