Conheça o IPE, um novo Linux Security Module da Microsoft para o kernel Linux que promete resolver o problema de integridade no kernel do Linux.
Quase dois meses após o lançamento da Plataforma em Nuvem do Azure baseada na IoT, a Microsoft anunciou agora um novo LSM (Linux Security Module) para dispositivos incorporados.
IPE – um novo Linux Security Module da Microsoft para o kernel
O módulo de segurança, chamado IPE (Integrity Policy Enforcement), visa resolver o problema de integridade no kernel do Linux, adicionando um novo recurso de segurança.
IPE é um módulo de segurança Linux que verifica a integridade do código em todo o sistema, restringindo qualquer execução não autorizada de código.
Os administradores têm controle total sobre a execução de processos autorizados.
De acordo com as notas oficiais, um administrador do sistema também pode criar uma lista de binários com os atributos de verificação correspondentes.
Isso ajuda o IPE a executar apenas os binários com atributos verificados e bloquear o código binário malicioso ou alterado.
Se você não sabe, a plataforma IoT do Azure implementa o mesmo kernel do Linux.
Portanto, o projeto IPE foi especialmente desenvolvido para sistemas embarcados com finalidades específicas, como dispositivos de firewall de rede em um data center.
No entanto, você não pode usar o IPE para computação de uso geral.
Como o IPE difere de outros módulos de segurança Linux?
Embora o kernel do Linux já tenha vários módulos para verificação de integridade, como o IMA. O IPE oferece especificamente verificação em tempo de execução do código binário.
A Microsoft alega que o IPE difere de outros LSMs de várias maneiras que fornecem verificação de integridade.
Por exemplo, o IPE não depende dos metadados do sistema de arquivos e dos atributos que o IPE verifica.
Além disso, o IPE não implementa nenhum mecanismo para verificar os arquivos de assinatura do IMA. Isso ocorre porque o kernel do Linux já possui módulos para o mesmo como dm-verity.
Os proprietários do sistema podem criar suas próprias políticas para verificações de integridade e utilizar assinaturas internas do dm-verity para autenticar códigos.
Para concluir, o novo projeto traz um novo módulo de segurança Linux que outros módulos falham em proteger o sistema contra a execução de código malicioso.
- Como instalar o driver para o controle do Xbox no Ubuntu
- Como instalar o NeoGeo Pocket Emulator no Linux via Snap
- Como instalar o jogo Space Station 14 no Linux via Flatpak
- Como habilitar o repositório Games no openSUSE