LINUX.ORG.RU
ФорумTalks

Microsoft предложил модуль ядра Linux для проверки целостности системы

 , , , ,


0

0

Источник новости: https://vk.com/@losst_official-microsoft-predlozhil-modul-yadra-linux-dlya-prover1586286037

Для Ъ:

Разработчики из компании Microsoft представили механизм проверки целостности IPE (Integrity Policy Enforcement), реализованный в виде LSM-модуля (Linux Security Module) для ядра Linux. Модуль позволяет определить общую политику обеспечения целостности для всей системы, указывающую какие операции допустимы и каким способом следует верифицировать подлинность компонентов. При помощи IPE можно указать какие исполняемые файлы разрешено запускать и гарантировать, что эти файлы идентичны версии, предоставленной проверенным источником. Код открыт под лицензией MIT.

IPE нацелен на создание полностью верифицируемых систем, целостность которых подтверждена от начального загрузчика и ядра до конечных исполняемых файлов, конфигурации и загружаемых файлов. В случае изменения или подмены файла IPE может блокировать операцию или журналировать факт нарушения целостности. Предложенный механизм может применяться в прошивках для встраиваемых устройств, в которых всё программное обеспечение и настройки специально собираются и предоставляются владельцем, например, в датацентрах Microsoft IPE применяется в оборудовании для межсетевых экранов.

От других систем проверки целостности, таких как IMA, IPE отличается независимостью от метаданных в ФС — все свойства, определяющие допустимость операций, хранятся непосредственно в ядре. Для верификации целостности содержимого файлов по криптографическим хэшам применяются уже существующие в ядре механизмы

Так что, Линукс теперь будет как 10 винда, да рутованию телефонов конец?

★★★★★

Ещё какое-то количество лет в том же духе и винда станет лишь проприетарной графической оболочкой к линуксу.

luke ★★★★ ()

Во-первых, ещё не факт, что этот модуль примут в состав ядра. Во-вторых, можно подумать, что у всех вообще все модули из ядра собраны и запущены.

blacklist melkosoftipe
- и всего делов.

saahriktu ★★★★★ ()
Ответ на: комментарий от saahriktu

Во-первых, ещё не факт, что этот модуль примут в состав ядра.

С отказом брать модуль в ядро может выйти ещё хуже, майкрософт сделает форк который себе будут брать все товоизаторы планеты, ну и Ubuntu с IBMhat и Стимом конечнго тоже.

torvn77 ★★★★★ ()
Ответ на: комментарий от torvn77

Ну я бы тут процитировал советского лыжника, но у меня всего две звезды осталось =)

DELIRIUM ☆☆☆☆☆ ()
Ответ на: комментарий от DELIRIUM

ЗБС модуль, дайте два

 static int __init ipe_load_properties(void)
 {
+	int rc = 0;
+
+	rc = ipe_init_bootv();
+	if (rc != 0) //Зойчем?
+		return rc;
+
+	return rc;
 }

Да и в целом там уже тыкают в лицо. Подобное будет лучше смотреться через расширение текущих механизмов, а не через что-то отдельное.

LINUX-ORG-RU ()
Ответ на: комментарий от LINUX-ORG-RU

Ну это показывает отношение майкрософта к линуксу, дали таску стажёру-студенту-троечнику.

Да и в целом там уже тыкают в лицо.

Чем тыкают? Морковкой?

DELIRIUM ☆☆☆☆☆ ()
Последнее исправление: DELIRIUM (всего исправлений: 1)
Ответ на: комментарий от torvn77

Могут, но не в этом случае. Там по сути костыль с конфигом в одну страницу текста. Только если (Заааговорыыы ууйййяяя)

- Тутутутутутутутуту тутутутуттутутуту (Тревожная музыка на фоне)
- 23:15 ЛосАнжелес человек в чёрном костюме въезжает на парковку
- 30 этаж, палец череловка в кресле нервно бьёт по стакану
- Человек в чёрном костюме поднимается по лифту
- Идёт по коридору
- Входит в не запертую дверь, закрывает её за собой
- Здравствуй Девин - говорит человек из кресла
- Ты выполнил моё поручение?
- Да сер и у меня есть планы по продолжению
- Говори Девид я тебя слушаю
- Довольно большое количество людей успешно используют WSL 
- На фоне этой популярности мы якобы хотим добавлять новый уровень безопасности, для этого был разработан модуль ядра и публично представлен.
- Сам модуль намеренно не отвечает качеству, и его скорее всего отвергнут.
- Зная то что многие не любят нас мы можем на этом сыграть, а именно. Показать что мы тоже делаем многое, но на отвергают и мы якобы для сохранения чести, гордости и неоставлении пользователей WSL без нововведений форкнем linux. Важный аспект во всём этом это сделать так что бы наший действия по форку были вынужденны и исключительно для того чтобы иметь возможность предоставлять пользователям, новый уровень безопасности.
- Пока всё идёт хорошо, отдел стратегического планирования просчитал два исхода.
- Первый, модуль примут это не очень хорошо, но мы сможем это использовать для своих целей
- Второй модуль отвергают и в этом случае у нас уже куплены несколько сотен журналистов который уже готовят статьи на счёт нападок со стороны разработчиков linux на нас. Мы сыграем на фоне общей толерантности. Пусть будет выглядеть так что нас дискриминируют как компанию. И пока их внутренний CoC будет решать что делать. Мы объявим форк. Но для сохранения лоялльности к нам в течении одного года он будет синхронизируем с оригиналом. Затем мы найдём предлог по внесению больших изменений. 
- Думаю иметь оригинал как подмножество нашего форка будет хорошим планом.
- Спустя время лень людей победит. И пользователи массово будут переходить к нам.
- Я понял Девид. Ступай. Докладывай по мере развития событий
- Да сер.
LINUX-ORG-RU ()
Ответ на: комментарий от DELIRIUM

Чем тыкают?

Тем что и на ЛОР. Недвусмысленно дали понять мол «А зачем для этого отдельный модуль? В чём смысл. Почему не расширить текущие возможности» почти цитата. =)

LINUX-ORG-RU ()

Это приложение не может быть запущено. Обратитесь к системному администратору. Теперь и в Линукс ! Класс !

lenin386 ★★★ ()
Ответ на: комментарий от luke

А мне вот кажется, что у венды как раз таки низкий уровень (ядро, драйверы и системные библиотеки) лучше линукса. А вот в пространстве пользователя аццкий бардак из убогого легаси в лице Win32. Я думаю, учитывая тенденции заменять софт в десятке на UWP, что в будущих релизах мелкие планируют полностью выпилить Win32 и вычистить систему от легаси, и оставить нативный API с .NET.

Unicode4all ★★★★★ ()
Ответ на: комментарий от Unicode4all

Нет, ну понятно, что Линукс им придётся патчить под свои нужды. И что там в виндовсе под капотом, и лучше ли оно линукса — сиё есть неизвестное.

luke ★★★★ ()

Нда, вот так источник... Перепост во вконтакте сообщения с losst...

targitaj ★★★★★ ()

Они, наконец, изобрели aegis, который ещё в Nokia N9 был, что-ли? Долго же они…

Stanson ★★★★★ ()

Как-раз на новый игровой пека не могу десятку поставить. Вместо запуска установщика в бсод падает.

Накрутили секурбутов, а людям страдай

gutaper ★★★ ()

в андройде уже давно android verified boot, обходят пока что

mittorn ★★★★★ ()

так не собирай себе в ядро всякое УГ. кто мешает-то.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Unicode4all

ядро

эта та херня, которая раньше падала в синий экран из-за вызова мессаджбокса не с теми аргументами?

системные библиотеки

scvchost.exe

scvchost.exe

scvchost.exe

scvchost.exe

scvchost.exe

next_time ★★★★★ ()
Ответ на: комментарий от next_time

эта та херня, которая раньше падала в синий экран из-за вызова мессаджбокса не с теми аргументами?

svchost.exe

Это вот все – убогий Win32, который пустил свои корни в пространство ядра (в виде модуля win32k.sys), оттого и валится в бсод. В самом ядре особо нечему падать, на то оно и микроядро. Насколько я помню потроха виндовса, единственное нативное (использующее только родную подсистему NT) приложение, которое запускается в типичной пользовательской сессии это smss.exe – аналог /sbin/init

Unicode4all ★★★★★ ()

А что разве раньше так делать нельзя было?

SR_team ★★★★ ()
Ответ на: комментарий от Unicode4all

мелкие планируют полностью выпилить Win32

Из системы, которой люди пользуются только из-за Win32

SR_team ★★★★ ()
Ответ на: комментарий от Unicode4all

Win32, который пустил свои корни в пространство ядра

микроядро

next_time ★★★★★ ()
Последнее исправление: next_time (всего исправлений: 1)
Ответ на: комментарий от next_time

Гибридное ядро. Микроядро + обвес из модулей в пространстве ядра. Всеми любимая макось также работает.

Unicode4all ★★★★★ ()
Ответ на: комментарий от Unicode4all

То, что компоненты ядра обмениваются сообщениями не делают его микроядром. Они один хрен работают в одном адресом пространстве и используют общие структуры данных.

vasya_pupkin ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)