Fedora 37 vai começar a assinar conteúdo RPM para maior segurança

Fedora 37 vai começar a assinar conteúdo RPM para maior segurança
Fedora 37 vai começar a assinar conteúdo RPM para maior segurança

Com o Fedora 36 a caminho do lançamento no final deste mês, mais atenção e planejamento dos desenvolvedores estão se voltando para o Fedora 37, que será lançado em breve, no mês de abril. Uma das mudanças que estão sendo comentadas nesta semana é a assinatura do conteúdo RPM para uma forma de confiar nos arquivos que são executados. Assim, o Fedora 37 vai começar a assinar conteúdo RPM para maior segurança.

A proposta de mudança do Fedora 37 é adicionar assinaturas com base em IMA aos arquivos individuais que fazem parte dos pacotes RPM enviados. Isso permitirá a aplicação de políticas de tempo de execução por administradores de sistema para garantir a execução apenas de arquivos confiáveis ou políticas semelhantes.

Queremos adicionar assinaturas a arquivos individuais que fazem parte dos RPMs enviados. Essas assinaturas usarão o esquema Linux IMA (Integrity Measurement Architecture), o que significa que elas podem ser usadas para impor políticas de tempo de execução para garantir a execução apenas de arquivos confiáveis.

Fedora 37 vai começar a assinar conteúdo RPM para maior segurança
Fedora 37 vai começar a assinar conteúdo RPM para maior segurança. O Fedora 36 será lançado em algumas semanas, enquanto já há conversas sobre o Fedora 37 para lançamento no final do ano.

Fedora 37 vai começar a assinar conteúdo RPM para maior segurança

Arquivos dentro de RPMs seriam com assinaturas IMA usando uma chave criada pela equipe de infraestrutura do Fedora e que estava nos cofres de assinatura. Essas assinaturas podem ter uso com a Integrity Measurement Architecture do kernel Linux para permitir a execução com base na política. 

O IMA permite que os usuários estendam a confiança de seu sistema ao sistema operacional e aos processos. Ele permite que os usuários, se assim o desejarem, estabeleçam políticas para garantir que sua máquina e seus recursos sejam usados da maneira que eles pretendiam, sem restringir o uso para o usuário médio do Fedora.

Isso não impediria, por padrão, que os usuários executassem binários/pacotes não oficiais ou similares, mas todas as peças estariam lá para os administradores de sistema que desejam impor essa política. Em outras palavras, não haveria qualquer restrição prática para o “usuário médio do Fedora”.

A desvantagem dessa assinatura de RPM é um pequeno aumento no tamanho dos RPMs assinados (cerca de 1% maior). Por outro lado, o tamanho do banco de dados RPM pode aumentar em cerca de 20% com base em testes.

Então, os interessados em conhecer melhor os planos de assinatura de RPM do Fedora para o F37 podem ver esta proposta de mudança. Lá estão todos os detalhes sobre este provável recurso de segurança chegando ao Fedora Linux na segunda metade do ano.

Via Phoronix