大家好,我是极客范的本期栏目编辑小友,现在为大家讲解微软为解决Linux代码完整性问题推出IPE问题。
微软已经发布了关于其新的Linux内核项目的详细信息。该项目名为完整性策略实施(IPE),是一个Linux安全模块(LSM),它允许可配置的策略在整个系统上实施完整性要求。
IPE是微软解决Linux代码完整性问题的一次尝试。它分为两个主要部分:由LSM提供的可配置策略(“IPE核心”)和由内核提供的用于评估文件的确定性属性(“IPE属性”)。目前,IPE仍处于RFC(征求意见)状态。
在启用IPE的Linux系统上,系统管理员可以创建一个允许执行的二进制文件列表,然后添加内核在运行每个二进制文件之前需要检查的验证属性。如果攻击者更改了二进制文件,IPE还可以阻止恶意代码的执行。
微软表示,IPE是为特殊用途设备设计的,例如嵌入式系统(如数据中心中的网络防火墙设备),其中所有软件和配置都是由管理员构建和提供的。理想情况下,使用IPE的系统不适合通用计算,并且不使用任何由第三方构建的软件或配置。
IPE支持两种操作模式:许可模式(类似于SELinux的许可模式)和强制模式。强制模式是默认模式。许可模式执行与强制模式相同的检查,并记录策略违规,但不强制策略,这允许用户在强制策略之前测试策略。
此外,微软声称,与Linux内核中代码完整性的现有LSM(如IMA)不同,IPE不依赖于文件系统元数据,并且由于IPE属性是只存在于内核中的确定性属性,因此不需要IMA等IMA签署的其他代码。
微软已经发布了关于其新的Linux内核项目的详细信息。该项目名为完整性策略实施(IPE),是一个Linux安全模块(LSM),它允许可配置的策略在整个系统上实施完整性要求。
IPE是微软解决Linux代码完整性问题的一次尝试。它分为两个主要部分:由LSM提供的可配置策略(“IPE核心”)和由内核提供的用于评估文件的确定性属性(“IPE属性”)。目前,IPE仍处于RFC(征求意见)状态。
在启用IPE的Linux系统上,系统管理员可以创建一个允许执行的二进制文件列表,然后添加内核在运行每个二进制文件之前需要检查的验证属性。如果攻击者更改了二进制文件,IPE还可以阻止恶意代码的执行。
微软表示,IPE是为特殊用途设备设计的,例如嵌入式系统(如数据中心中的网络防火墙设备),其中所有软件和配置都是由管理员构建和提供的。理想情况下,使用IPE的系统不适合通用计算,并且不使用任何由第三方构建的软件或配置。
IPE支持两种操作模式:许可模式(类似于SELinux的许可模式)和强制模式。强制模式是默认模式。许可模式执行与强制模式相同的检查,并记录策略违规,但不强制策略,这允许用户在强制策略之前测试策略。
此外,微软声称,与Linux内核中代码完整性的现有LSM(如IMA)不同,IPE不依赖于文件系统元数据,并且由于IPE属性是只存在于内核中的确定性属性,因此不需要IMA等IMA签署的其他代码。dfma {
相对位置:
宽度: 1000 px;
margin: 0 auto
}。dfma a:after {
绝对位置:
左: 0;
底部: 0;
宽度: 30px
线高: 1.4;
文本对齐:中心;
背景-color: rgba(0,0,0,5);
color: # fff
font-size : 12px
内容: '广告;
}。dfma img {
显示器:块;
}