Поиск по сайту:

Если все ошибки ядра являются ошибками безопасности, как обеспечить безопасность вашего Linux?

С февраля было присвоено 800 новых сертификатов CVE. Твоя работа? Чаще обновляйте свой основной дистрибутив Linux.

Пингвинам нужен сон, но администраторы Linux никогда не должны отдыхать.

Хотите знать, что происходит с разработкой ядра Linux? Подпишитесь на список рассылки ядра Linux. Хотите узнать, что происходит с ядром Linux на глубоком уровне, но не отслеживая каждую деталь? Подпишитесь на еженедельные новости Linux (LWN).

Но если вам нужен широкий и быстрый обзор состояния ядра Linux, сделайте то, что сделал я: поймайте Джонатана Корбета, разработчика ядра Linux и главного редактора LWN, который поделится одним из своих отчетов о состоянии ядра. презентации на крупной конференции Linux. 

На Саммите открытого исходного кода в Северной Америке в Сиэтле Корбет согласился с Линусом Торвальдсом, который ранее на той же выставке сказал, что со следующим ядром, Linux 6.9, все «спокойно, стабильно и скучно». Это спокойствие – хорошая новость.  

Однако Корбет также сообщил, что есть некоторые тревожные новости: «В ядре практически любая ошибка, если вы достаточно умны, может быть использована для компрометации системы. Ядро находится в уникальном месте системы... множество обычных ошибок превратилось в уязвимости».

В этой ситуации нет ничего нового. Все ошибки операционной системы могут стать эксплуатацией. Этот факт подчеркивают разработчики ядра Linux, которые недавно начали выпускать свои собственные уведомления о распространенных уязвимостях и рисках (CVE). И как объяснил Корбет: «Поскольку практически любая ошибка может быть уязвимостью, мы будем осторожны, и мы будем осторожны. И мы собираемся присвоить номер CVE практически всему, что выглядит как в какой-то момент в будущем это может стать уязвимостью».

Такой подход означает, что сейчас существуют сотни CVE ядра Linux. Только с февраля, по словам Корбета, было получено 800 новых CVE. 

Что вы можете сделать, чтобы обеспечить безопасность и защищенность ваших систем Linux? Просто: убедитесь, что в вашем дистрибутиве используются долгосрочные стабильные версии ядра (LTS). В этих выпусках исправлены CVE, и по мере исправления новых проблем они переносятся в ядра LTS. 

Тем не менее, следует помнить, что Корбет отметил, что выпуски LTS не будут поддерживаться так долго, как раньше. Версии LTS теперь поддерживаются только два года, а не шесть. Итак, по состоянию на январь 2024 года Linux 4.14 больше не поддерживается. В конце года к этому выпуску присоединится ядро 4.19. К 2026 году будут поддерживаться только две последние выпущенные версии LTS.

Если вы не уверены, какую версию используете, запустите из оболочки следующую команду:

$имя -р

Если вы получаете какой-либо результат, кроме пустого, вы используете LTS.

Почему разработчики ядра не поддерживают версии дольше? Ответ — снижение использования (например, очень немногие люди все еще использовали ядро 4.14 шестилетней давности) и практические трудности поддержки устаревшего программного обеспечения. Это изменение подчеркивает более широкий сдвиг в сторону текущих версий, которые легче поддерживать и защищать.

Если вы привязаны к определенной версии ядра Linux, сборщик вашего дистрибутива может вам помочь. Canonical, например, предоставляет своим версиям LTS Ubuntu 12 лет поддержки. OpenELA, торговая ассоциация дистрибьютора Linux CIQ, компании, поддерживающей Rocky Linux, Oracle и SUSE, также предлагает — через kernel-lts — новую жизнь для ядра 4.14. OpenELA также может предоставлять расширенную поддержку для других дистрибутивов LTS Linux, поскольку срок их эксплуатации приближается к концу.

Но, забегая вперед, многие из вас, возможно, будут чаще обновлять свои основные дистрибутивы Linux, если хотят быть в безопасности. И поверьте мне, вы хотите обеспечить безопасность своих компьютеров с Linux. Недавно мы подошли слишком близко к серьезной ошибке безопасности XZ, проникшей в Linux. 

Помимо вопросов безопасности, Корбет сказал, что разработчики ядра Linux недавно завершили «самый напряженный цикл разработки». Этот цикл был посвящен выпуску ядра 6.7, который имел впечатляющие 17 000 коммитов и был выпущен в начале января.

Забегая вперед, будущий выпуск 6.9 будет иметь «всего» около 14 000 коммитов. Но закулисные усилия касаются не только объема. Измерение коммитов или строк кода (LoC) — это подход неудачника к программированию. Самое главное — это качество и набор функций, таких как улучшения управления памятью и интеграция кода Rust в архитектуры ARM64.

Отойдя от кода, Корбет отметил, что команда разработчиков ядра Linux в последнее время развивается в хорошем направлении. В каждом из последних циклов приняли участие не менее 200 новых участников. Не так давно мы беспокоились о том, что разработчики ядра Linux потеряют сознание. По мнению Корбета, благодаря этой волне новых программистов «сообщество останется ярким и динамичным». 

Тем не менее, как также заметил Корбет, нам необходимо поощрять компании «лучше поддерживать наше сообщество». Это потому, что сопровождающие и давние разработчики выгорают. Им нужно больше денег и поддержки. Без этой помощи мы можем ожидать еще большего выгорания, разочарования разработчиков, снижения качества кода и, в конечном итоге, большего количества проблем с безопасностью.

Корбет предлагает взглянуть на модель зрелости вклада ядра Linux , чтобы узнать, как обстоят дела у вашего бизнеса. Суть в том, что компании должны относиться к работе с Linux как к главному приоритету, а не как к второстепенной мысли. Эти усилия, возможно, не принесут прямого вклада в прибыль, но на данный момент почти все предприятия зависят от Linux, чтобы продолжать работать - и вы можете игнорировать этот факт на свой страх и риск. 

Статьи по данной тематике