微软推出IPE试图解决Linux代码完整性问题乍看之下似乎难以理解,但由于其多操作系统云基础架构,微软已成为Linux的重要贡献者。考虑到这些客户,微软本周宣布了Linux代码完整性问题的解决方案。IntegrityPolicyEnforcement(IPE)是一个Linux安全模块,可选择性地增强用户安全性。根据GitHub上的文档,该模块允许管理员为之前已被授权执行的代码配置策略。虽然Linux内核有几种现有的完整性验证方法,但微软表示这些方法“缺乏一种运行时验证二进制文件是从这些位置获取的方法。”使用IPE,服务器管理员可以防止二进制重写、恶意二进制执行和链接器劫持等攻击。这些都是不容忽视的问题,因为它们需要很少的努力,但可能会产生巨大的影响。不过值得注意的是,这个方案并不适用于我们普通用户。对此,微软的解释是:“IPE被设计用于专用设备,如嵌入式系统(如数据中心的网络防火墙设备),所有软件和配置均由所有者构建和提供。”理想情况下,使用IPE的系统不打算用于通用计算,也不会利用第三方构建的任何软件或配置。”即便如此,IPE可能需要数周时间才能广泛使用。该模块目前处于“RequestforComments(RFC)”状态,必须等待反馈才能使用。此前,Linux内核已经包含一个用于代码完整性的LSM,称为IntegrityMetricArchitecture(IMA)。根据Microsoft的说法,IPE与IMA不同,因为“它不依赖于文件系统元数据”,并且因为IPE属性“是只存在于内核中的确定性属性”,这意味着IPE不需要像IMA其他代码一样进行IMA签名。相关信息:《Microsoft announces IPE, a new code integrity feature for Linux》[《Microsoft Announces IPE, an Attempt to Solve Linux’s Code IntegrityProblem》][2]IPE官网:https://microsoft.github.io/ipe/IMA介绍:https://sourceforge.net/p/lin...
