1398-07-17
اخبار
بازدید : 801
محدودیت هایی که به روز رسانی جدید لینوکس ایجاد خواهد کرد
بهروزرسانی جدید لینوکس دسترسی به هسته را محدود خواهد کرد
پس از سالها بررسی و بحث و بازنویسی کد، لینوس توروالدز ویژگی امنیتی جدید هستهی لینوکس بهنام «قفلکردن» (lockdown) را تأیید کرد.
بهزودی، ویژگی جدید لینوکس بهعنوان ماژول امنیتی لینوکس (Linux Security Module) یا LSM بههمراه نسخهی جدید هستهی لینوکس ۵.۴ عرضه خواهد شد؛ بااینحال، این ویژگی بهصورت پیشفرض خاموش خواهد بود و استفاده از آن بهدلیل خطرهای احتمالی مانند ازکارافتادن سیستم اختیاری خواهد بود.
بستن حساب روت (Root)
کارایی اصلی این ویژگی جدید تقویت شکاف بین فرایندهای کاربر و کد هسته است که با منع دسترسی به کدهای کرنل حتی برای حساب روت اتفاق میافتد. حساب روت بهصورت پیشفرض تاکنون بهشکلی طراحی شده است که اجازه دسترسی به کدهای هسته را داشته باشد. هنگام فعالسازی ویژگی «قفلکن» دسترسی به بعضی از کاراییهای هسته محدود خواهد شد. این عمل باعث خواهد شد درصورت وجود حساب غیرایمن Root، از آسیبرساندن به دیگر بخشهای سیستمعامل جلوگیری شود.
متیو گرت، یکی از مهندسان ارشد گوگل است که ساخت این ویژگی را چندین سال قبل پیشنهاد کرده بود.
وی گفته است:
ماژول قفلکن به این منظور ساخته شده است که به هسته اجازه دهد هنگام فرایند راهاندازی سیستم قفل شود.
لینوس توروالدز، خالق هستهی لینوکس و کسی که چند روز قبل روی این ویژگی جدید مُهر تأیید زده، معتقد است:
هنگام فعالبودن ویژگی جدید کارایی قسمتهای مختلف هسته محدود خواهد شد.
این ویژگی اجازهی اجرای کد دلخواه را محدود خواهد کرد که فرایندهای کاربران عادی آن را تهیه کرده است. مسدودکردن فرایندها برای نوشتن یا خواندن در مسیرهای /dev/mem و /dev/kmem حافظه، مسدودکردن دسترسی برای بازکردن مسیر /dev/port برای جلوگیری از دسترسی به دادههای خام شبکه، اجبار برای کلیدگذاری ماژولهای کرنل و... شامل ویژگی جدید خواهد بود. میتوانید جزئیات بیشتر را از اینجا مطالعه کنید.
دو حالت مختلف قفلکن
ماژول جدید ارائهشده میتواند دو حالت مختلف بهنامهای «مستقل» و «محرمانه» را برای انجام فرایند قفلکردن هستهی سیستم پشتیبانی کند. هرکدام از این حالتها، منحصربهفرد خواهند بود و دسترسی به قسمتهای مختلف از فرایندهای کرنل را محدود خواهند کرد.
تراولدس دربارهی جزئیات بیشتر گفت:
اگر در حالت مستقل قرار گیرد، ویژگیهایی غیرفعال خواهد شد که به کاربران داده شده بود تا هسته را ویرایش کنند. اگر در حالت محرمانه قرار گیرد، ویژگیهای هسته نیز غیرفعال خواهد شد که به کاربران اجازه میدهد اطلاعات محرمانه را از هستهی سیستم استخراج کنند.
درصورت لزوم، میتوان حالت ققلکن دیگری روی ماژول قفلکن ارائهشده قرار داد؛ ولی این کار نیازمند استفاده از پچهای خارجی خواهد بود.
حضور دیرهنگام
شروع کار روی ویژگی قفلکن هسته در اوایل سال ۲۰۱۰ آغاز شد که پیشگام آن مهندس فعلی گوگل، متیو گرت است. ایدهی اصلی شکلگیری ویژگی قفلکن این بود که مکانیزمی امنیتی روی هسته قرار گیرد که کاربران با مجوز دسترسی بالا، توانایی دسترسی و دستکاری کد هسته را نداشته باشند.
در گذشته، حتی اگر مکانیزم راهاندازی امنی برای سیستم لینوکس بهکار گرفته میشد، بااینحال بازهم راههایی برای سوءاستفاده وجود داشت که بدافزارها بتوانند به درایورها و حساب ریشه و حساب کاربری ویژه با سطح دسترسی بالا رخنه کنند و بتوانند کد کرنل را دستکاری کنند تا به بوت پایدار و جای پای ثابت روی سیستم آلودهشده دست یابند.
در سالهای گذشته، بسیاری از متخصصان امنیتی درخواست کردند هستهی لینوکس باید از روشی قدرتمند برای محدودکردن حساب ریشه پشتیبانی کند و امنیت هستهی لینوکس را ارتقا بخشد.
مخالف اصلی این کار شخصی نبود جز خود تراولد؛ کسی که در ابتدا و روزهای اول یکی از منتقدان سرسخت این ویژگی بود. در نتیجهی این مخالفت، بسیاری از توزیعهای لینوکس، مانند ردهت (Red Hat)، توسعهی پچهای هستهی لینوکس خود را برای ایجاد ویژگی قفلکن روی هستهی اصلی لینوکس شروع کردند. بااینحال، هر دو طرف ماجرا بالاخره توانستند در سال ۲۰۱۸ بهتوافق برسند و روند کار روی ویژگی قفلکن امسال پیش رفت تا به سرانجام رسید.
تراولدز چند روز گذشته در پستی گفت:
بسیاری از توزیعهای اصلی سالها است که انواع مختلفی از مجموعه پچهای مشابه را همراه دارند. برنامههایی که به دسترسی سطح پایین به سختافزار نیاز دارند یا به کرنل متکی هستند، ممکن است از کار بیفتند؛ بنابراین این ویژگی نباید بدون ارزیابی مناسب فعال شود.
ناگفته نماند خبر تأیید ماژول قفلکن هستهی لینوکس با استقبال درخورتوجه جامعهی لینوکس و امنیت سایبری مواجه شده است.
اخبار ای تی، اخبار شبکه های کامپیوتری، شبکه های کامپیوتری، نصب و راه اندازی شبکه های کامپیوتری، پشتیبانی شبکه های کامپیوتری،پشتیبانی شبکه، شرکت پشتیبانی شبکه، قرارداد پشتیبانی شبکه، خدمات شبکه، راه اندازی شبکه، شرکت نصب و راه اندازی شبکه های کامپیوتری، نصب شبکه، راه اندازی شبکه، پشتیبانی شبکه، فروش سوئیچ سیسکو، سیسکو ریفر، فروش سرور اچ پی، سرور اچ پی dl380، سرور اچ پی dl360، سرور رکمونت اچ پی، سرور HP، راه اندازی سرور اچ پی، فروش سرور HP، بهترین قیمت سرور اچ پی،کمترین قیمت سرور اچ پی، تجهیزات سرور اچ پی، هارد sas، هارد سرور اچ پی، رم سرور اچ پی، پاور سرور اچ پی، سوئیچ 2960 سیسکو،لینک فروش سوئیچ های سیسکو، سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو، قیمت سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو نیو،سیسکو، بهترین قیمت سوئیچ سیسکو، سوئیچ شبکه سیسکو، ماژول سیسکو، ماژول استک سیسکو، stack ماژول، sfp ماژول، اکتیو شبکه، پسیوشبکه، زیرساخت شبکه، کابل کشی شبکه، پیمانکار شبکه، فروش تجهیزات شبکه، سرور HPML30G10، قیمت سرورHPML30G10، سرور HPML110G9، قیمت سرورHPML110G9، فروش فایروال فورتی گیت، فروش فایروال فورتی نت، فروش فایروال فورتی وب، فروش فایروال FortiWeb400D، فروش محصولات FortiNet، فروش رک، فروش رک سرور، فروش رک دیواری، فروش رک ایستاده، رک سرور، رک ایستاده، رک دیواری
خدمات شبکه , نصب و راه اندازی شبکه , سرور , پشتیبانی شبکه , راه اندازی شبکه , اجرای شبکه , فروش تجهیزات شبکه , قرارداد پشتیبانی شبکه , راه اندازی اتاق سرور , راه اندازی سرور روم , اجرای زیرساخت شبکه ,