Ubuntu Linux 23.10 adiciona novo recurso de segurança importante

Suporte ao Ubuntu 23.04 acaba em 25 de janeiro de 2024
Ubuntu Linux 23.10 terá Linux 6.5

Amanhã é o Dia da Criança, mas a equipe da Canonical resolveu deixar um presente para os fãs do Ubuntu. Com a estreia prevista, o Ubuntu Linux 23.10 adiciona um novo recurso de segurança importante. Isso tem o potencial de melhorar significativamente a segurança de desktops e contêineres Linux.

Em 12 de outubro de 2023 (amanhã, portanto), a Canonical lançará o Ubuntu 23.10. Esta nova versão do Ubuntu Linux já parece boa. Um novo recurso de segurança, no entanto, não recebeu muita atenção: namespaces de usuários restritos e sem privilégios. Deveria. Isso tem o potencial de melhorar significativamente a segurança de desktops e contêineres Linux.

Mas o que são “namespaces de usuários restritos e sem privilégios”, você pergunta? Bem, deixe-me começar explicando o que são “namespaces de usuários sem privilégios”. Eles são um recurso do kernel Linux que foi introduzido no kernel Linux 3.8 em 2019. A ideia era evitar o problema de segurança causado pelo modelo de privilégio de permissão do Linux, que divide os usuários em dois grupos: usuários normais e superusuários, também conhecidos como usuários root. O problema é que, ao atuar como superusuário, não há nada que você não possa fazer. Queimar o sistema até o chão? Claro! Vá em frente.

Existem maneiras de contornar esse problema neste modelo, mas os namespaces de usuário sem privilégios foram uma tentativa de proteger o Linux, permitindo que os administradores configurassem sandboxes ou contêineres onde um usuário normal poderia atuar como superusuário dentro de um contêiner para executar tarefas administrativas sem ser root o sistema mestre Linux.  

Mas se os hackers obtivessem privilégios de root dentro do contêiner, eles poderiam invadir e causar estragos no sistema host. 

Ubuntu Linux 23.10 adiciona novo recurso de segurança importante

 

Namespaces de usuários sem privilégios provaram ser uma faca de dois gumes. Embora sejam fundamentais na criação de sandboxes de aplicativos seguros e na substituição de muitos usos de programas setuid e setguid, eles expõem interfaces de kernel a usuários sem privilégios, levando a possíveis vulnerabilidades de segurança. Esses namespaces foram implicados em diversas cadeias de exploração de escalonamento de privilégios.

Ubuntu Linux 23.10 adiciona novo recurso de segurança importante

O Ubuntu 23.10 está enfrentando esse desafio de frente. A nova versão contará com namespaces de usuários restritos e sem privilégios, controlados e regulamentados pelas políticas do AppArmor. Essa abordagem seletiva garante que apenas aplicativos autorizados possam acessar e utilizar esses namespaces, mitigando significativamente os riscos de segurança associados.

AppArmor é um módulo de segurança do kernel Linux. Ele permite que os administradores de sistema restrinjam os recursos dos programas trabalhando com permissões padrão de controle de acesso obrigatório (MAC) do Unix/Linux. O AppArmor foi integrado ao Ubuntu Linux desde o lançamento do Ubuntu 7.10 em 2007. Ele também é usado na família SUSE Linux.  

Nesse caso, você pode usar o AppArmor para permitir e proibir namespaces de usuários sem privilégios seletivamente por meio de uma política do AppArmor por aplicativo. A Canonical fornecerá políticas AppArmor pré-construídas para programas populares como Chrome, Firefox e Thunderbird. 

À medida que a Canonical coleta feedback dos usuários, ela criará mais perfis AppArmor para mais aplicativos. Este recurso de segurança aprimorado será inicialmente opcional. Você poderá habilitá-lo através do shell. 

Para ativar esse recurso, use o seguinte par de comandos do seu shell:

Terminal
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1

E se você quiser desativá-lo, execute os dois comandos a seguir:

Terminal
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

O Ubuntu está particularmente interessado em coletar feedback dos usuários para refinar e otimizar esta medida de segurança antes de integrá-la como um recurso padrão no sistema operacional.

Então, uma vez aperfeiçoado, esse recurso será ativado por padrão em 23.10, por meio de Stable Release Updates (SRU). Espera-se que, uma vez funcionando bem, esteja ativado em todas as versões futuras do Ubuntu

Este recurso é exclusivo do Ubuntu 23.10 e não afetará usuários de versões anteriores. Ele marca um passo significativo nos esforços contínuos do Ubuntu para preparar a segurança do seu sistema operacional para o futuro contra ameaças de segurança cibernética em evolução, garantindo ao mesmo tempo que a experiência do usuário permaneça na vanguarda.

Fonte