Amanhã é o Dia da Criança, mas a equipe da Canonical resolveu deixar um presente para os fãs do Ubuntu. Com a estreia prevista, o Ubuntu Linux 23.10 adiciona um novo recurso de segurança importante. Isso tem o potencial de melhorar significativamente a segurança de desktops e contêineres Linux.
Em 12 de outubro de 2023 (amanhã, portanto), a Canonical lançará o Ubuntu 23.10. Esta nova versão do Ubuntu Linux já parece boa. Um novo recurso de segurança, no entanto, não recebeu muita atenção: namespaces de usuários restritos e sem privilégios. Deveria. Isso tem o potencial de melhorar significativamente a segurança de desktops e contêineres Linux.
Mas o que são “namespaces de usuários restritos e sem privilégios”, você pergunta? Bem, deixe-me começar explicando o que são “namespaces de usuários sem privilégios”. Eles são um recurso do kernel Linux que foi introduzido no kernel Linux 3.8 em 2019. A ideia era evitar o problema de segurança causado pelo modelo de privilégio de permissão do Linux, que divide os usuários em dois grupos: usuários normais e superusuários, também conhecidos como usuários root. O problema é que, ao atuar como superusuário, não há nada que você não possa fazer. Queimar o sistema até o chão? Claro! Vá em frente.
Existem maneiras de contornar esse problema neste modelo, mas os namespaces de usuário sem privilégios foram uma tentativa de proteger o Linux, permitindo que os administradores configurassem sandboxes ou contêineres onde um usuário normal poderia atuar como superusuário dentro de um contêiner para executar tarefas administrativas sem ser root o sistema mestre Linux.
Mas se os hackers obtivessem privilégios de root dentro do contêiner, eles poderiam invadir e causar estragos no sistema host.
Namespaces de usuários sem privilégios provaram ser uma faca de dois gumes. Embora sejam fundamentais na criação de sandboxes de aplicativos seguros e na substituição de muitos usos de programas setuid e setguid, eles expõem interfaces de kernel a usuários sem privilégios, levando a possíveis vulnerabilidades de segurança. Esses namespaces foram implicados em diversas cadeias de exploração de escalonamento de privilégios.
Ubuntu Linux 23.10 adiciona novo recurso de segurança importante
O Ubuntu 23.10 está enfrentando esse desafio de frente. A nova versão contará com namespaces de usuários restritos e sem privilégios, controlados e regulamentados pelas políticas do AppArmor. Essa abordagem seletiva garante que apenas aplicativos autorizados possam acessar e utilizar esses namespaces, mitigando significativamente os riscos de segurança associados.
Notícias Relacionadas
Novidades Mir
Canonical lança Mir 2.18 com suporte a decorações no lado do servidor Wayland
A Canonical lançou o Mir 2.18, trazendo suporte a decorações no lado do servidor Wayland, escalonamento fracionado e melhorias de configuração de entrada. Baseado no Ubuntu 24.04, essa versão prepara o caminho para o Ubuntu 24.10.
Ubuntu Kernel
Como Instalar o Ubuntu Kernel 6.11 no Linux Mint e Pop!_OS
Aprenda a instalar o Ubuntu Kernel 6.11 em distribuições baseadas no Ubuntu, como Linux Mint e Pop!_OS. Siga este tutorial detalhado com comandos, dicas e solução de problemas para melhorar a performance e o suporte de hardware do seu sistema.
AppArmor é um módulo de segurança do kernel Linux. Ele permite que os administradores de sistema restrinjam os recursos dos programas trabalhando com permissões padrão de controle de acesso obrigatório (MAC) do Unix/Linux. O AppArmor foi integrado ao Ubuntu Linux desde o lançamento do Ubuntu 7.10 em 2007. Ele também é usado na família SUSE Linux.
Nesse caso, você pode usar o AppArmor para permitir e proibir namespaces de usuários sem privilégios seletivamente por meio de uma política do AppArmor por aplicativo. A Canonical fornecerá políticas AppArmor pré-construídas para programas populares como Chrome, Firefox e Thunderbird.
À medida que a Canonical coleta feedback dos usuários, ela criará mais perfis AppArmor para mais aplicativos. Este recurso de segurança aprimorado será inicialmente opcional. Você poderá habilitá-lo através do shell.
Para ativar esse recurso, use o seguinte par de comandos do seu shell:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1E se você quiser desativá-lo, execute os dois comandos a seguir:
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0O Ubuntu está particularmente interessado em coletar feedback dos usuários para refinar e otimizar esta medida de segurança antes de integrá-la como um recurso padrão no sistema operacional.
Então, uma vez aperfeiçoado, esse recurso será ativado por padrão em 23.10, por meio de Stable Release Updates (SRU). Espera-se que, uma vez funcionando bem, esteja ativado em todas as versões futuras do Ubuntu.
Este recurso é exclusivo do Ubuntu 23.10 e não afetará usuários de versões anteriores. Ele marca um passo significativo nos esforços contínuos do Ubuntu para preparar a segurança do seu sistema operacional para o futuro contra ameaças de segurança cibernética em evolução, garantindo ao mesmo tempo que a experiência do usuário permaneça na vanguarda.
