• IT-Karriere:
  • Services:

Netzwerk: Microsoft baut eigenes Linux Security Module

Mit IPE soll der Linux-Kernel durch Code-Integrity besser abgesichert werden, etwa auf Firewall-Geräten im Rechenzentrum.

Artikel veröffentlicht am ,
Der Linux-Kernel könnte ein weiteres LSM bekommen.
Der Linux-Kernel könnte ein weiteres LSM bekommen. (Bild: Pexels.com)

Geht es nach den Entwicklern von Microsoft, bekommt der Linux-Kernel künftig ein weiteres sogenanntes Linux Security Module (LSM). Den Code zu dem Projekt mit dem Namen Integrity Policy Enforcement (IPE) haben die Entwickler bereits auf der Mailingliste der Linux-Kernel-Entwickler veröffentlicht. Dokumentation zu IPE stellen die Entwickler von Microsoft ebenso zur Verfügung.

Stellenmarkt
  1. über duerenhoff GmbH, Lübeck
  2. comuny GmbH, Weinheim

Bei den LSM handelt es sich um eine im Kernel bestehende Technik, die Linux erweitern kann. Bekannte LSM sind etwa Selinux oder Apparmor, die von den meisten Linux-Distributionen eingesetzt werden. Hinzu kommen die zuletzt eingepflegten Lockdown-Patches. Diese Reihe könnte künftig also um IPE von Microsoft erweitert werden.

Laut der Ankündigung versuche IPE, "das Problem der Code-Integrität zu lösen. Also dass jeder ausgeführter Code (oder gelesene Dateien) identisch mit der Version ist, die von einer vertrauenswürdigen Quelle erstellt wurde. Einfach ausgedrückt hilft IPE dem Besitzer eines Systems sicherzustellen, dass nur von ihm autorisierter Code ausgeführt werden darf."

Gedacht ist das Modul speziell für den Einsatz auf Embedded-Geräten mit einem spezifischen Einsatzzweck. Als Beispiel nennt Microsoft etwa Firewall-Geräte, die in Rechenzentren genutzt werden. Auf typischen Serversystemen soll IPE hingegen explizit nicht eingesetzt werden. Die Sicherheit von IPE basiert darüber hinaus auf der Annahme, dass die Plattform-Firmware den genutzten Kernel verifiziert sowie optional auch das Root-Dateisystem.

IPE soll sich von bisherigen LSM dadurch unterscheiden, dass es nicht von den Metadaten des Dateisystems abhängt. Die Eigenschaften, die IPE überprüfe, seien darüber hinaus ausschließlich Eigenschaften, die bereits im Linux-Kernel selbst hinterlegt seien. Zur Prüfung der Dateiintegrität nutze IPE etwa dm-verity oder fsverity. Weitere Details liefert die Dokumentation.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-83%) 9,99€
  2. Tom Clancy's Rainbow Six Siege für 7,99€, Assassin's Creed Odyssey für 17,99€, Far Cry 5 für...
  3. 31,99€
  4. (-78%) 2,15€

Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
    •  /