Ubuntu Linux 23.10 добавляет важную новую функцию безопасности
Ubuntu Linux 23.10 улучшение безопасности с важной новой функцией
12 октября 2023 года Canonical выпустит Ubuntu 23.10. Эта новая версия Ubuntu Linux уже выглядит хорошо. Одна новая функция безопасности, однако, не получила много внимания: Ограниченные неопривилегированные пользовательские пространства. И это должно. Это имеет потенциал значительно улучшить безопасность рабочего стола Linux и контейнеров.
Но что такое “ограниченные неопривилегированные пользовательские пространства”, вы спросите? Ну, позвольте мне начать с объяснения того, что такое “неопривилегированные пользовательские пространства”. Это функция ядра Linux, которая была введена в ядро Linux 3.8 в 2019 году. Идея заключалась в том, чтобы избежать проблемы безопасности, вызванной моделью разрешений Linux, которая разделяет пользователей на две группы: обычных пользователей и суперпользователей, также известных как root-пользователи. Проблема заключается в том, что будучи суперпользователем, вы можете сделать всё. Сжечь систему дотла? Конечно! Пожалуйста.
Также: Лучшие услуги VPN (и как выбрать подходящую для вас)
В этой модели есть способы обойти эту проблему, но неопривилегированные пользовательские пространства были попыткой обезопасить Linux, позволяя администраторам создавать песочницы или контейнеры, в которых обычный пользователь мог бы действовать как суперпользователь внутри контейнера для выполнения административных задач без привилегий root на основной системе Linux.
Но если злоумышленники получат привилегии root внутри контейнера, они могут выйти за его пределы и навредить хост-системе. Упс!
- Купи лицензию Windows 11 Pro всего за $30 уже сейчас!
- «Сверхпрочный внешний SSD объемом 2 ТБ со скидкой в $125 до завтра ...
- Лучший Chromebook 2023 года
Неопривилегированные пользовательские пространства оказались многогранным мечом. Хотя они являются ключевыми при создании безопасных сред исполнения приложений и замене многих использований программ setuid и setguid, они предоставляют неопривилегированным пользователям доступ к ядру, что создает потенциальные уязвимости безопасности. Эти пространства связаны с несколькими цепочками эксплойтов повышения привилегий.
Также: Вновь обнаруженный вредоносный код для Android инфицировал тысячи устройств
Ubuntu 23.10 принимает вызов этой проблемы на себя. В новом выпуске появятся ограниченные неопривилегированные пользовательские пространства, контролируемые и регулируемые политиками AppArmor. Этот селективный подход обеспечивает доступ и использование этих пространств только для авторизованных приложений, значительно снижая связанные с ними риски безопасности.
AppArmor – это модуль безопасности ядра Linux. Он позволяет системным администраторам ограничивать возможности программ путем работы с стандартными разрешениями на обязательный контроль доступа (MAC) Unix/Linux. AppArmor встроен в Ubuntu Linux с момента появления Ubuntu 7.10 в 2007 году. Он также используется в семействе Linux от SUSE.
В этом случае вы можете использовать AppArmor для разрешения или запрета неопривилегированных пользовательских пространств выборочно с использованием политик AppArmor на основе приложения. Canonical предоставит готовые политики AppArmor для популярных программ, таких как Chrome, Firefox и Thunderbird.
Также: 7 вещей, которые даже новые пользователи Linux могут сделать, чтобы повысить безопасность ОС
По мере сбора отзывов пользователей, Canonical добавит больше профилей AppArmor для различных приложений. Эта усовершенствованная функция безопасности изначально будет действовать по выбору пользователя. Вы сможете включить ее через оболочку.
Чтобы включить эту функцию, воспользуйтесь следующей парой команд в вашей оболочке:
$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1
А если вы хотите отключить ее, выполните следующие две команды:
$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Ubuntu особенно заинтересована в сборе отзывов пользователей для усовершенствования и оптимизации этой меры безопасности перед ее включением в операционную систему по умолчанию.
Также: 6 простых правил кибербезопасности для соблюдения
Затем, когда она будет усовершенствована, эта функция будет включена по умолчанию в 23.10 через обновления стабильной версии. Предполагается, что когда она будет работать хорошо, она будет включена во всех будущих версиях Ubuntu.
Эта функция доступна только в Ubuntu 23.10 и не затронет пользователей предыдущих версий. Это знаковый шаг в усилиях Ubuntu по обеспечению безопасности своей операционной системы от постоянно изменяющихся угроз кибербезопасности при сохранении пользовательского опыта на первом месте.
