Netzwerk: Microsoft baut eigenes Linux Security Module

Mit IPE soll der Linux-Kernel durch Code-Integrity besser abgesichert werden, etwa auf Firewall-Geräten im Rechenzentrum.

Artikel veröffentlicht am ,
Der Linux-Kernel könnte ein weiteres LSM bekommen.
Der Linux-Kernel könnte ein weiteres LSM bekommen. (Bild: Pexels.com)

Geht es nach den Entwicklern von Microsoft, bekommt der Linux-Kernel künftig ein weiteres sogenanntes Linux Security Module (LSM). Den Code zu dem Projekt mit dem Namen Integrity Policy Enforcement (IPE) haben die Entwickler bereits auf der Mailingliste der Linux-Kernel-Entwickler veröffentlicht. Dokumentation zu IPE stellen die Entwickler von Microsoft ebenso zur Verfügung.

Stellenmarkt
  1. Senior Fullstack Softwareentwickler (m/w/d)
    Jobware GmbH, Paderborn
  2. Senior IT Projektmanager (w/m/d)
    Bechtle GmbH, Hamburg
Detailsuche

Bei den LSM handelt es sich um eine im Kernel bestehende Technik, die Linux erweitern kann. Bekannte LSM sind etwa Selinux oder Apparmor, die von den meisten Linux-Distributionen eingesetzt werden. Hinzu kommen die zuletzt eingepflegten Lockdown-Patches. Diese Reihe könnte künftig also um IPE von Microsoft erweitert werden.

Laut der Ankündigung versuche IPE, "das Problem der Code-Integrität zu lösen. Also dass jeder ausgeführter Code (oder gelesene Dateien) identisch mit der Version ist, die von einer vertrauenswürdigen Quelle erstellt wurde. Einfach ausgedrückt hilft IPE dem Besitzer eines Systems sicherzustellen, dass nur von ihm autorisierter Code ausgeführt werden darf."

Gedacht ist das Modul speziell für den Einsatz auf Embedded-Geräten mit einem spezifischen Einsatzzweck. Als Beispiel nennt Microsoft etwa Firewall-Geräte, die in Rechenzentren genutzt werden. Auf typischen Serversystemen soll IPE hingegen explizit nicht eingesetzt werden. Die Sicherheit von IPE basiert darüber hinaus auf der Annahme, dass die Plattform-Firmware den genutzten Kernel verifiziert sowie optional auch das Root-Dateisystem.

Golem Akademie
  1. PostgreSQL Fundamentals
    14.-17. September 2021, online
  2. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
Weitere IT-Trainings

IPE soll sich von bisherigen LSM dadurch unterscheiden, dass es nicht von den Metadaten des Dateisystems abhängt. Die Eigenschaften, die IPE überprüfe, seien darüber hinaus ausschließlich Eigenschaften, die bereits im Linux-Kernel selbst hinterlegt seien. Zur Prüfung der Dateiintegrität nutze IPE etwa dm-verity oder fsverity. Weitere Details liefert die Dokumentation.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Intel NUC 11 im Test
Mit dem Tiger ins Homeoffice

Die modularen Mini-PCs von Intel sind kompakt und leistungsfähig, die NUCs verfügen zudem über viele Anschlüsse. Wir haben zwei neue NUC 11 getestet.
Ein Test von Mike Wobker

Intel NUC 11 im Test: Mit dem Tiger ins Homeoffice
Artikel
  1. Microsoft warnt: Phishing mit Callcenter und gefälschtem Probeabo
    Microsoft warnt
    Phishing mit Callcenter und gefälschtem Probeabo

    Die E-Mails seien von Spamfiltern mangels Schadelementen nur schwer zu erkennen, warnt Microsoft. Erst am Telefon wird zur Installation der Malware gedrängt.

  2. App: Betrüger nutzen Lidl Pay aus
    App
    Betrüger nutzen Lidl Pay aus

    Mit Lidl Pay kann man einfach per App zahlen - offenbar werden die angegebenen Kontodaten für das Lastschriftverfahren aber nicht ausreichend geprüft.

  3. Anti-Virus: John McAfee tot im Gefängnis aufgefunden
    Anti-Virus
    John McAfee tot im Gefängnis aufgefunden

    John McAfee ist tot in einer Gefängniszelle gefunden worden. Ihm drohte eine Auslieferung von Spanien in die USA.

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • 6 Blu-rays für 30€ [Werbung]
    •  /