В Ubuntu Linux 23.10 добавлена новая важная функция безопасности
Это потенциально может значительно улучшить безопасность настольных компьютеров и контейнеров Linux.
12 октября 2023 года Canonical выпустит Ubuntu 23.10. Эта новая версия Ubuntu Linux уже выглядит хорошо. Однако одна новая функция безопасности не привлекла особого внимания: ограничение пространства имен непривилегированных пользователей. Так и должно быть. Это потенциально может значительно улучшить безопасность настольных компьютеров и контейнеров Linux.
Но что такое «ограниченное пространство имен непривилегированных пользователей», спросите вы? Что ж, позвольте мне начать с объяснения, что такое «пространства имен непривилегированных пользователей». Это функция ядра Linux, которая была представлена в ядре Linux 3.8 в 2019 году. Идея заключалась в том, чтобы избежать проблем безопасности, вызванных моделью привилегий разрешений Linux, которая делит пользователей на две группы: обычные пользователи и суперпользователи, также известные как пользователи root. Проблема в том, что, действуя в качестве суперпользователя, вы ничего не можете сделать. Сжечь систему дотла? Конечно! Действуй.
В этой модели есть способы обойти эту проблему, но пространства имен непривилегированных пользователей были попыткой защитить Linux, позволив администраторам настраивать песочницы или контейнеры, в которых обычный пользователь мог выступать в качестве суперпользователя внутри контейнера для выполнения административных задач без полномочий root. основная система Linux.
Но если хакеры получат root-права внутри контейнера, они смогут вырваться наружу и нанести ущерб хост-системе. Упс!
Пространства имен непривилегированных пользователей оказались палкой о двух концах. Хотя они играют важную роль в создании безопасных изолированных программных программ и заменяют многие виды использования программ setuid и setguid, они предоставляют интерфейсы ядра непривилегированным пользователям, что приводит к потенциальным уязвимостям безопасности. Эти пространства имен были вовлечены в несколько цепочек эксплойтов повышения привилегий.
Ubuntu 23.10 решает эту проблему. В новой версии будут представлены ограниченные пространства имен непривилегированных пользователей, контролируемые и регулируемые политиками AppArmor. Такой выборочный подход гарантирует, что только авторизованные приложения смогут получить доступ к этим пространствам имен и использовать их, что значительно снижает связанные с этим риски безопасности.
AppArmor — это модуль безопасности ядра Linux. Он позволяет системным администраторам ограничивать возможности программ, работая со стандартными разрешениями обязательного контроля доступа (MAC) Unix/Linux. AppArmor встроен в Ubuntu Linux с момента появления Ubuntu 7.10 в 2007 году. Он также используется в семействе SUSE Linux.
В этом случае вы можете использовать AppArmor, чтобы выборочно разрешать и запрещать пространства имен непривилегированных пользователей с помощью политики AppArmor для каждого приложения. Canonical предоставит готовые политики AppArmor для таких популярных программ, как Chrome, Firefox и Thunderbird.
По мере того, как Canonical собирает отзывы пользователей, она будет создавать больше профилей AppArmor для большего количества приложений. Эта расширенная функция безопасности изначально будет доступна по вашему желанию. Вы сможете включить его через оболочку.
Чтобы включить эту функцию, используйте следующую пару команд из вашей оболочки:
$sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1
$sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1
И если вы хотите отключить его, выполните следующие две команды:
$sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0
$sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Ubuntu особенно заинтересована в сборе отзывов пользователей для усовершенствования и оптимизации этой меры безопасности, прежде чем интегрировать ее в качестве функции по умолчанию в операционную систему.
Затем, как только она будет доведена до совершенства, эта функция будет включена по умолчанию 23 октября через обновления стабильной версии (SRU). Ожидается, что как только он заработает хорошо, он будет включен во всех будущих версиях Ubuntu.
Эта функция является эксклюзивной для Ubuntu 23.10 и не повлияет на пользователей предыдущих версий. Это знаменует собой значительный шаг в постоянных усилиях Ubuntu по обеспечению безопасности своей операционной системы в будущем от развивающихся угроз кибербезопасности, гарантируя при этом, что взаимодействие с пользователем остается на переднем крае.