Ми розглянемо ті функції та поліпшення, які підвищують загальну безпеку системи Ubuntu і допомагають реалізувати вашу стратегію кібербезпеки Linux.
Ubuntu 21.10 – цей випуск є останнім проміжним випуском перед майбутнім випуском 22.04 LTS, який повинен вийти у квітні 2022 року. Оскільки проміжні випуски часто служать підставою для появи нових функцій у випусках LTS, це дає хорошу можливість підсумовувати та подивитися на деякі з останніх функцій безпеки, представлених в цьому випуску.
Linux ядро 5.13
Ядро Linux є основою всіх систем Ubuntu. Ubuntu 21.10 використовує вихідне ядро 5.13 в якості базового і тому використовує ряд поліпшень в порівнянні з ядром 5.11, яке використовується в Ubuntu 21.04. До них належать такі нові функції:
Виявлення активних спроб експлуатації за допомогою детектора помилок пам’яті KFENCE
Уразливості, пов’язані з пошкодженням пам’яті, як і раніше залишаються одним з найбільш проблемних типів проблем безпеки для ядра Linux. Їх можна виявити як під час компіляції за допомогою статичного аналізу, так і під час виконання з допомогою інструментів різних процедур розподілу пам’яті. Традиційно інструментальні операції з пам’яттю для виявлення помилок під час виконання були занадто ресурсоємними для використання у виробничих системах і тому були обмежені для використання в середовищах CI та т.п. Kernel Electric Fence (KFENCE) – це новий детектор помилок пам’яті з низькими накладними витратами, який розроблений для використання у виробничих середовищах. Замість того щоб аналізувати всі підпрограми пам’яті, KFENCE використовує метод вибірки, так що вимірюється тільки підмножина операцій, зберігаючи низькі накладні витрати водночас дозволяючи, виявляти найбільш поширені помилки пам’яті, які можуть виникнути протягом досить тривалого періоду вибірки. Це включено за замовчуванням, що має дозволити виявляти різні помилки пам’яті під час виконання, які, своєю чергою, можуть вказувати на наявність активних спроб експлуатації цих систем.
[Примітка редактора: під час розробки Ubuntu 21.10 KFENCE був включений за замовчуванням, але незадовго до фінальної версії був відключений через нестабільність в певних сценаріях – все ще триває розслідування, щоб спробувати повторно включити цю функцію в рамках поновлення стабільної версії. процес].
Бороніть експлуатації ядра за допомогою рандомізації зміщення стека ядра
Використання ядра Linux часто пов’язано з тим, що локальний користувач виконує кілька системних викликів, щоб спочатку отримати витік адреси пам’яті ядра, а потім перезаписати цю пам’ять при наступному виклику. Один із способів протидіяти цим методом експлуатації – переконатися, що стек ядра розташований в іншій області пам’яті від одного системного виклику до іншого, так що адреса пам’яті стека, який може бути витік з одного системного виклику, стає недійсним при використанні в подальшому дзвінку. Ядро 5.13 надає можливість рандомизировать розташування стека ядра при кожному записі системного виклику ядра як для архітектури amd64, так і для архітектури arm64. Ця робота була натхненна проєктом PaX RANDKSTACK і, таким чином, привносить в основне ядро Linux і, отже, в Ubuntu 21.10 бажану функцію посилення безпеки. Вплив цієї нової функції на продуктивність мінімально, тому вона включена за замовчуванням для Ubuntu 21.10 і, таким чином, робить всіх користувачів Ubuntu більш безпечними, розбудовуючи потенційних зловмисників, закриваючи іншу техніку атаки.
Експериментуйте з пісочницею додатків за допомогою модуля безпеки Landlock
Уразливості в системі безпеки можуть бути присутніми в найбільш надійних додатках. Щоб спробувати обмежити вплив, яке вони можуть мати, системи обов’язкового контролю доступу (MAC) були використані для додатків-пісочниць, щоб вони могли отримати доступ тільки до певних необхідних ресурсів. AppArmor і SELinux є прикладами систем MAC, і обидва вони реалізовані як модулі безпеки Linux в ядрі Linux. Кожен з них дозволяє системному адміністратору визначати політику про те, до яких додатків повинен бути дозволений доступ. В останні роки спостерігається тенденція до того, щоб програми могли поміщатися в пісочницю самі по собі, з введенням фільтрів seccomp, а тепер і Landlock LSM. Landlock схожий на AppArmor в тому, що він дозволяє створювати політику, яка обмежує додаток в доступі до файлів, але на відміну від AppAmor, який призначений для настройки системним адміністратором, Landlock дозволяє додаткам визначати свою власну політику безпеки. Використання стекирования LSM дозволяє використовувати Landlock разом з AppArmor, і тому він був включений в Ubuntu 21.10 у якості попередньої версії цієї нової технології, щоб розробники додатків могли почати вивчення використання Landlock на додаток до AppArmor для поліпшеної ізоляції додатків.
Зменште поверхню атаки ядра, відключивши непривілейований BPF
Використання віртуальної машини Berkeley Packet Filter (BPF) в ядрі розширилося з моменту, коли вона початково використання в мережевій підсистемі ядра. Тепер він використовується групами управління для фільтрації доступу до пристроїв, відстеження і профілювання для збору інформації про продуктивність, а також для спостереження і контролю за системою, і це лише кілька прикладів використання, в яких ця технологія була застосована. У міру зростання кількості варіантів використання BPF зростає і бажання зробити цю повсюдну систему доступною для всіх користувачів. Починаючи з ядра 4.4, непривілейовані користувачі можуть завантажувати програми BPF в ядро, вважаючи, що вбудований в ядро верифікатор BPF гарантує, що в результаті не будуть виконані небажані дії. На жаль, через низку проблем безпеки, які були (і продовжують виявлятися) в верифікаторів BPF, це призвело до ряду високопріоритетних вразливостей в ядрі, які дозволяють звичайним користувачем підвищити свої привілеї до root, шляхом завантаження програм BPF, які обходять різні перевірки в верифікатори BPF. В результаті для Ubuntu 21.10 це значення за замовчуванням було змінено, так що тільки привілейовані користувачі можуть завантажувати програми BPF, але довіряють системні адміністратори можуть дозволити непривілейованим користувачам завантажувати програми BPF, змінивши відповідний параметр sysctl. Ця зміна направлена на досягнення балансу між підвищеною зручністю використання універсального BPF, а також із захистом системи від зловмисників, які прагнуть використовувати цю функцію для власної вигоди, що в цілому робить Ubuntu 21.10 більш захищеним від атак цього типу.
Покращений статичний аналіз з GCC 11
Ubuntu широко визнаний найпопулярнішим дистрибутивом Linux для розробників і використовується командами розробників в більш ніж 100 країнах в самих різних галузях для створення провідних у світі програм і сервісів. Розробники вибирають Ubuntu з багатьох причин, включаючи безпрецедентну підтримку апаратного та програмного забезпечення, знайомство із загальною платформою між середовищами розробки та виробництва і довгострокову підтримку, пропоновану Canonical. Однак ще одну додаткову перевагу включає можливість для розробників постачати більш безпечний код, використовуючи Ubuntu у якості платформи розробки. Ubuntu 21.10 включає останню версію GCC, поважного і де-факто компілятора C / C ++. В GCC 10 з’явилася можливість виконувати більш інтенсивні перевірки статичного аналізу під час компіляції за допомогою параметра командного рядка -fanalyzer. В GCC 11 були додані додаткові перевірки для виявлення дефектів, таких як спроба зміни строкових літералів або спроба зрушити тип на значення більше, ніж воно може представляти, і, отже, викликати переповнення. Розробляючи Ubuntu 21.10 і вирішуючи використання цих функцій, розробники можуть виявляти й, отже, постачати більш безпечний код, використовуючи Ubuntu у якості платформи розробки за своїм вибором.
В цілому, набір функцій безпеки та додаткові заходи захисту, реалізовані в Ubuntu 21.10, роблять його найбезпечнішою версією Ubuntu на сьогодні. Вони також беруть участь в розробці Ubuntu 22.04 LTS, наступного довгострокового підтримуваного випуску Ubuntu. Оновлення безпеки та livepatching ядра для 22.04 LTS будуть надаватися протягом десяти років через підписку Ubuntu Advantage, продовжуючи тестування випусків Ubuntu LTS, службовців найбільш безпечною основою для розробки та розгортання програм і сервісів Linux.
