Suicide
08.04.2020, 19:13
Разработчики из компании Microsoft представили (https://lkml.org/lkml/2020/4/6/941) механизм проверки целостности IPE (https://microsoft.github.io/ipe/) (Integrity Policy Enforcement), реализованный в виде LSM-модуля (Linux Security Module) для ядра Linux. Модуль позволяет определить общую политику обеспечения целостности для всей системы, указывающую какие операции допустимы и каким способом следует верифицировать подлинность компонентов. При помощи IPE можно указать какие исполняемые файлы разрешено запускать и гарантировать, что эти файлы идентичны версии, предоставленной проверенным источником. Код открыт (https://github.com/microsoft/ipe) под лицензией MIT.
IPE нацелен на создание полностью верифицируемых систем, целостность которых подтверждена от начального загрузчика и ядра до конечных исполняемых файлов, конфигурации и загружаемых файлов. В случае изменения или подмены файла IPE может блокировать операцию или журналировать факт нарушения целостности. Предложенный механизм может применяться в прошивках для встраиваемых устройств, в которых всё программное обеспечение и настройки специально собираются и предоставляются владельцем, например, в датацентрах Microsoft IPE применяется в оборудовании для межсетевых экранов.
От других систем проверки целостности, таких как IMA (https://www.opennet.ru/opennews/art.shtml?num=22084), IPE отличается независимостью от метаданных в ФС - все свойства, определяющие допустимость операций, хранятся непосредственно в ядре. Для верификации целостности содержимого файлов по криптографическим хэшам применяются уже существующие в ядре механизмы dm-verity (https://www.opennet.ru/opennews/art.shtml?num=33888) или fs-verity (https://www.opennet.ru/opennews/art.shtml?num=51881). По аналогии с SELinux поддерживается два режима работы "permissive" и "enforce". В первом режиме лишь ведётся лог проблем при выполнении проверок, что, например, может использоваться для предварительного тестирования окружения.
07.04.2020
https://www.opennet.ru/opennews/art.shtml?num=52691
IPE нацелен на создание полностью верифицируемых систем, целостность которых подтверждена от начального загрузчика и ядра до конечных исполняемых файлов, конфигурации и загружаемых файлов. В случае изменения или подмены файла IPE может блокировать операцию или журналировать факт нарушения целостности. Предложенный механизм может применяться в прошивках для встраиваемых устройств, в которых всё программное обеспечение и настройки специально собираются и предоставляются владельцем, например, в датацентрах Microsoft IPE применяется в оборудовании для межсетевых экранов.
От других систем проверки целостности, таких как IMA (https://www.opennet.ru/opennews/art.shtml?num=22084), IPE отличается независимостью от метаданных в ФС - все свойства, определяющие допустимость операций, хранятся непосредственно в ядре. Для верификации целостности содержимого файлов по криптографическим хэшам применяются уже существующие в ядре механизмы dm-verity (https://www.opennet.ru/opennews/art.shtml?num=33888) или fs-verity (https://www.opennet.ru/opennews/art.shtml?num=51881). По аналогии с SELinux поддерживается два режима работы "permissive" и "enforce". В первом режиме лишь ведётся лог проблем при выполнении проверок, что, например, может использоваться для предварительного тестирования окружения.
07.04.2020
https://www.opennet.ru/opennews/art.shtml?num=52691