Microsoft anuncia IPE, una nueva característica de integridad de código para Linux


Linux Tux

Microsoft publicó esta semana detalles sobre un nuevo proyecto que la compañía ha estado trabajando para el kernel de Linux.

Aplicación de políticas de integridad denominada – o IPE – el proyecto es un Módulo de seguridad de Linux (LSM) Los LSM son complementos opcionales para el kernel de Linux que permiten funciones de seguridad adicionales.

Según una página de documentación publicado el lunes, IPE es el intento de Microsoft de resolver el problema de integridad del código para Linux, un sistema operativo que la compañía united states ampliamente en su servicio en la nube de Azure.

En los sistemas Linux donde IPE está habilitado, los administradores del sistema pueden crear una lista de archivos binarios que se les permite ejecutar y luego agregar los atributos de verificación que el núcleo necesita para verificar cada binario antes de permitir que se ejecute. Si un atacante ha alterado los archivos binarios, IPE puede bloquear la ejecución del código malicioso.

No está destinado a la foundation de usuarios common de Linux

Microsoft dice que IPE no está destinado a la informática de uso typical. El IPE LSM fue diseñado para casos de uso muy específicos donde la seguridad es primordial y los administradores deben tener el command whole de lo que se ejecuta en sus sistemas.

Los ejemplos incluyen sistemas integrados, como dispositivos de firewall de pink que se ejecutan en un centro de datos, o servidores Linux que ejecutan configuraciones y aplicaciones estrictas e inmutables.

«IPE, similar a SELinux, admite dos modos de operación: permisivo y obligatorio», dijo Microsoft.

«El modo permisivo realiza las mismas comprobaciones que el modo obligatorio y registra las infracciones de la política, pero no aplicará la política. Esto permite a los usuarios probar políticas antes de aplicarlas».

Microsoft ha publicado hoy las especificaciones para el nuevo módulo IPE. El IPE se encuentra actualmente en un estado RFC (solicitud de comentarios). Pasará algún tiempo antes de que se envíe con el núcleo Linux real.

El kernel de Linux ya incluye un LSM para la integridad del código, denominado Arquitectura de medición de integridad (IMA) Microsoft dijo que IPE difiere de IMA porque «no depende de los metadatos del sistema de archivos» y porque los atributos de IPE «son propiedades deterministas que existen únicamente en el núcleo», lo que significa que IPE no necesita código adicional como IMA necesita firmas IMA.



Enlace a la noticia unique