集火攻击:游戏和软件的汇聚下载基地 最近更新 | 排行榜

集火攻击

首页 > 资讯攻略 > 微软资讯 > 为解决Linux的代码完整性问题微软推出IPE

为解决Linux的代码完整性问题微软推出IPE

相关文章 来源:集火攻击时间:2020-04-08 15:39:01字体大小:A-A+

作者:点击:

微软发布了有关该公司一直致力的 Linux 内核新项目的详细信息。该项目名为 Integrity Policy Enforcement(IPE),是 Linux 安全模块(Linux Security Module,LSM),它允许可配置的策略在整个系统上强制执行完整性要求。

image.png

IPE 是微软为解决 Linux 的代码完整性问题而进行的尝试。分为两个主要部分:由 LSM 提供的可配置策略(“IPE Core”),以及由内核提供的用于评估文件的确定性属性(“IPE Properties”)。目前,IPE 尚处于 RFC(request for comments)状态。

在启用了 IPE 的 Linux 系统上,系统管理员可以创建允许执行的二进制文件列表,然后添加内核在运行每个二进制文件之前需要检查的验证属性。如果攻击者更改了二进制文件,IPE 还可以阻止恶意代码的执行。

微软方面表示,IPE 设计用于具有特定目的的设备,例如嵌入式系统(e.g. 数据中心中的网络防火墙设备),其中所有软件和配置均由管理员构建和提供。理想情况下,利用 IPE 的系统不适用于通用计算,也不使用第三方构建的任何软件或配置。

IPE 支持两种操作模式:permissive 模式(类似于 SELinux 的 permissive 模式)和 enforce 模式。 其中,enforce 模式是默认模式。Permissive 模式执行与 enforce 模式相同的检查,并记录 policy violations 情况,但其不会强制执行策略,这使得用户可以在 enforce 策略之前对其进行测试。

此外,微软称,与 Linux 内核中已有的用于代码完整性的 LSM(例如 IMA)不同的是,IPE 不依赖于文件系统元数据,并且因为 IPE 属性是仅存在于内核中的确定性属性,所以它不需要像 IMA 一样需要 IMA 签名的其他代码。


热门推荐

最新游戏

最近更新 | 网站地图

集火攻击(www.jihuogongju.net)版权所有闽ICP备2022007482号-3

本站资源均收集整理于互联网,其著作权归原作者所有,如果有侵犯您权利的资源,请来信告知,我们将及时撤销相应资源。