مایکروسافت ماژول امنیتی IPE را برای لینوکس کرنل معرفی کرد
مایکروسافت با انتشار اطلاعیهای جدید جزئیات پروژهای تازه را شرح داده است که ظاهرا از مدتها پیش، برای هستهی لینوکس (Linux Kernel) روی آن کار میکند. پروژهی جدید مایکروسافت که با نام IPE مخفف Integrity Policy Enforcement بهمعنی «اجرای سیاست یکپارچگی» شناخته میشود، درواقع، نوعی ماژول امنیتی لینوکس (LSM) است. ماژولهای امنیتی افزونههایی اختیاری برای لینوکس کرنل هستند که قابلیتهای امنیتی بیشتری به آن اضافه میکنند.
براساس اطلاعات رسمی مایکروسافت در گیتهاب، IPE نتیجهی تلاش این شرکت برای حل مشکل یکپارچگی کدها در لینوکس است. ناگفته نماند مایکروسافت در سرویسهای ابری آژور (Microsoft Azure) بهصورت گسترده از سیستمعامل لینوکس بهره میگیرد.
در سیستمهای مبتنیبر لینوکس که ماژول امنیتی IPE فعال باشد، ادمینهای سیستم میتوانند فهرستی از کدهای باینری را ایجاد کنند که اجازهی اجراشدن آنها صادر شده است. ادمینها سپس میتوانند پیشنیازهای لازم برای تأیید صلاحیت هر کد باینری را دراختیار کرنل بگذارند تا کرنل بتواند پیش از اجرای هر کد باینری، آن را بهدقت بررسی کند. اگر این کدهای باینری را هکر دگرگون کرده باشد، IPE میتواند بهسرعت روند اجرای آن کد مخرب را متوقف کند. بدینترتیب، IPE در نقش نوعی ماژول امنیتی مؤثر در لینوکس کرنل عمل میکند.
مایکروسافت میگوید ماژول امنیتی IPE برای همهی کاربران و بهمنظور انجام اهداف عمومی در نظر گرفته نشده است. آنطور که ردموندیها میگویند، ماژول IPE برای موارد استفادهی بسیار خاصی طراحی شده است که در آنها مقولهی امنیت اهمیت بسیار زیادی دارد. درضمن، IPE در وضعیتی بهکار میرود که لازم باشد ادمینهای سیستم روی کدهای اجراشده کنترل کامل داشته باشند. نمونهای از این سیستمها را میتوان سیستمهای توکار (Embedded Systems) نظیر دستگاههای فایروال شبکه بهشمار آورد که درون دیتاسنترها فعالیت میکنند.
مایکروسافت میگوید:
IPE همچون ماژول امنیتی SELinux از دو حالت مختلف عملکرد پشتیبانی میکند: Permissive و Enforce. حالتهای Permissive و Enforce نوعی بررسی روی سیستم انجام میدهند و بهدنبال موارد نقضکنندهی قوانین میگردند؛ بااینحال، تفاوت موجود این است که حالت Permissive پس از یافتن خطا، اقدامی انجام نمیدهد. این موضوع باعث میشود کاربران بتوانند پیش از اجرای قوانین [بهمنظور رفع خطا]، آنها را آزمایش کنند».
مایکروسافت ضمن معرفی ماژول IPE، مشخصات آن را نیز منتشر کرده است. براساس اعلام رسمی، این ماژول فعلا در وضعیت RFC قرار دارد و اضافهشدن آن به لینوکس کرنل، اندکی زمان میبرد. لینوکس کرنل هماکنون از نوعی ماژول امنیتی برای حل مشکل یکپارچگی کد بهرهمند است که از آن با نام IMA یاد میشود. مایکروسافت میگوید IPE تفاوتهایی با IMA دارد؛ زیرا ماژول امنیتی این شرکت هیچگونه وابستگی به متادیتای فایلسیستم ندارد. همچنین طبق گفتههای مایکروسافت، IPE برخلاف IMA به کد اضافی نیازی ندارد.
دیدگاه شما کاربران زومیت دربارهی ماژول امنیتی IPE برای لینوکس کرنل چیست؟
نظرات