Ubuntu Linux 23.10 adiciona novo recurso de segurança importante

Suporte ao Ubuntu 23.04 acaba em 25 de janeiro de 2024
Ubuntu Linux 23.10 terá Linux 6.5

Amanhã é o Dia da Criança, mas a equipe da Canonical resolveu deixar um presente para os fãs do Ubuntu. Com a estreia prevista, o Ubuntu Linux 23.10 adiciona um novo recurso de segurança importante. Isso tem o potencial de melhorar significativamente a segurança de desktops e contêineres Linux.

Em 12 de outubro de 2023 (amanhã, portanto), a Canonical lançará o Ubuntu 23.10. Esta nova versão do Ubuntu Linux já parece boa. Um novo recurso de segurança, no entanto, não recebeu muita atenção: namespaces de usuários restritos e sem privilégios. Deveria. Isso tem o potencial de melhorar significativamente a segurança de desktops e contêineres Linux.

Mas o que são “namespaces de usuários restritos e sem privilégios”, você pergunta? Bem, deixe-me começar explicando o que são “namespaces de usuários sem privilégios”. Eles são um recurso do kernel Linux que foi introduzido no kernel Linux 3.8 em 2019. A ideia era evitar o problema de segurança causado pelo modelo de privilégio de permissão do Linux, que divide os usuários em dois grupos: usuários normais e superusuários, também conhecidos como usuários root. O problema é que, ao atuar como superusuário, não há nada que você não possa fazer. Queimar o sistema até o chão? Claro! Vá em frente.

Existem maneiras de contornar esse problema neste modelo, mas os namespaces de usuário sem privilégios foram uma tentativa de proteger o Linux, permitindo que os administradores configurassem sandboxes ou contêineres onde um usuário normal poderia atuar como superusuário dentro de um contêiner para executar tarefas administrativas sem ser root o sistema mestre Linux.  

Mas se os hackers obtivessem privilégios de root dentro do contêiner, eles poderiam invadir e causar estragos no sistema host. 

 

Namespaces de usuários sem privilégios provaram ser uma faca de dois gumes. Embora sejam fundamentais na criação de sandboxes de aplicativos seguros e na substituição de muitos usos de programas setuid e setguid, eles expõem interfaces de kernel a usuários sem privilégios, levando a possíveis vulnerabilidades de segurança. Esses namespaces foram implicados em diversas cadeias de exploração de escalonamento de privilégios.

Ubuntu Linux 23.10 adiciona novo recurso de segurança importante

O Ubuntu 23.10 está enfrentando esse desafio de frente. A nova versão contará com namespaces de usuários restritos e sem privilégios, controlados e regulamentados pelas políticas do AppArmor. Essa abordagem seletiva garante que apenas aplicativos autorizados possam acessar e utilizar esses namespaces, mitigando significativamente os riscos de segurança associados.

AppArmor é um módulo de segurança do kernel Linux. Ele permite que os administradores de sistema restrinjam os recursos dos programas trabalhando com permissões padrão de controle de acesso obrigatório (MAC) do Unix/Linux. O AppArmor foi integrado ao Ubuntu Linux desde o lançamento do Ubuntu 7.10 em 2007. Ele também é usado na família SUSE Linux.  

Nesse caso, você pode usar o AppArmor para permitir e proibir namespaces de usuários sem privilégios seletivamente por meio de uma política do AppArmor por aplicativo. A Canonical fornecerá políticas AppArmor pré-construídas para programas populares como Chrome, Firefox e Thunderbird. 

À medida que a Canonical coleta feedback dos usuários, ela criará mais perfis AppArmor para mais aplicativos. Este recurso de segurança aprimorado será inicialmente opcional. Você poderá habilitá-lo através do shell. 

Para ativar esse recurso, use o seguinte par de comandos do seu shell:

Terminal
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1

E se você quiser desativá-lo, execute os dois comandos a seguir:

Terminal
sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

O Ubuntu está particularmente interessado em coletar feedback dos usuários para refinar e otimizar esta medida de segurança antes de integrá-la como um recurso padrão no sistema operacional.

Então, uma vez aperfeiçoado, esse recurso será ativado por padrão em 23.10, por meio de Stable Release Updates (SRU). Espera-se que, uma vez funcionando bem, esteja ativado em todas as versões futuras do Ubuntu

Este recurso é exclusivo do Ubuntu 23.10 e não afetará usuários de versões anteriores. Ele marca um passo significativo nos esforços contínuos do Ubuntu para preparar a segurança do seu sistema operacional para o futuro contra ameaças de segurança cibernética em evolução, garantindo ao mesmo tempo que a experiência do usuário permaneça na vanguarda.

Fonte

Acesse a versão completa
Sair da versão mobile