Microsoft contribui com melhorias de integridade para o kernel Linux 5.12

Microsoft contribui com melhorias de integridade para o kernel Linux 5.12
azure

A Microsoft parece mesmo empenhada em contribuir para o desenvolvimento do Linux. Mais um passo nessa direção acaba de acontecer. No entanto, os engenheiros da Microsoft continuam aumentando suas contribuições para o kernel Linux onde faz sentido para eles. É o caso, por exemplo, de proteger o serviço de nuvem Azure, visto que cerca de 50% ou mais das instâncias executam Linux. Com o Linux 5.12, existem melhorias no subsistema de integridade provenientes da Microsoft. Portanto, a Microsoft contribui com melhorias de integridade para o kernel Linux 5.12, especialmente em relação ao Azure.

Com o subsistema de integridade e sua Arquitetura de Medição de Integridade (IMA) para calcular hashes antes de carregar programas e arquivos, há algumas adições importantes ??presentes no Linux 5.12. Agora há suporte para IMA para medir dados críticos do kernel com base em regras. A utilização inicial dessa medição de dados do kernel ocorre em torno da política SELinux na memória e da versão do kernel.

Microsoft contribui com melhorias de integridade para o kernel Linux 5.12

Microsoft contribui com melhorias de integridade para o kernel Linux 5.12

O suporte IMA para medir a versão do kernel na inicialização tem a defesa de Raphael Gianotti da Microsoft. Isso deve garantir que apenas um kernel bom e atual tenha carregamento em termos de segurança. Raphael anotou no patch,

A integridade de um kernel pode ser verificada pelo carregador de boot na inicialização a frio, e durante o kexec, pelo kernel em execução no momento, antes de ser carregado. No entanto, ainda é possível que o novo kernel seja mais antigo que o kernel atual e/ou tenha vulnerabilidades. 

Portanto, é importante que um serviço seja capaz de verificar a versão do kernel que está sendo carregada no cliente, a partir da inicialização a frio e das chamadas de sistema kexec subsequentes, garantindo que apenas os kernels com versões sabidamente boas sejam carregados. 

É possível verificar a versão do kernel usando ima_measure_critical_data () no início da sequência de inicialização, reduzindo as chances de vulnerabilidades conhecidas do kernel serem exploradas. Com o IMA sendo parte do kernel, essa abordagem geral torna a própria medição mais confiável. 

Mais detalhes

O outro usuário inicial dessas medições IMA de dados críticos do kernel é a política SELinux carregada. A medição da política SELinux na memória por meio do IMA é feita como uma maneira segura para o serviço de atestado ser capaz de validar remotamente o conteúdo da política durante o tempo de execução. Esse patch teve o desenvolvimento de Lakshmi Ramasubramanian da Microsoft.

Essas mudanças e outras melhorias do subsistema de integridade são parte dessa solicitação de pull no Linux 5.12.

Phoronix