forum.opennet.ru

Составление сообщения

Исходное сообщение

"Добавление в systemd загрузчика для UEFI Secure Boot и други..."
Отправлено opennews, 02-Фев-15 23:33

Разработчики системного менеджера systemd намерены (http://www.heise.de/open/meldung/Systemd-will-Linux-Start-pe...) интегрировать в состав пакета поддержку загрузчика gummiboot (http://freedesktop.org/wiki/Software/gummiboot/) для обеспечения верификации процесса загрузки на системах с  UEFI Secure Boot. Верификация загрузки позволит гарантировать отсутствие посторонней активности во время начальной загрузки, в том числе присечь попытки запуска подконтрольных злоумышленникам приложений, внедрённых, например, для перехвата ввода паролей к зашифрованным разделам.

Ранее поддержка верификации как правило ограничивалась проверкой загрузчика или верификацией загрузки ядра и связанных с ним модулей. Разработчики systemd предлагают расширить число проверяемых компонентов, дав возможность пользователю разрешить загрузку только специально подписанных системных образов начальной загрузки (initramfs). Даже получив доступ к системе атакующие не смогут внести изменения в initramfs чтобы запустить кейлоггер и перехватить ввод пароля к зашифрованному корневому разделу.

Загрузчик gummiboot выбран так как он является разработкой (https://www.opennet.ru/opennews/art.shtml?num=34222) Red Hat, изначально поддерживает интеграцию с systemd и не требует (https://plus.google.com/u/0/+KaySievers/posts/GisPmPBsqfK) специальной настройки - он автоматически выявляет конфигурацию ядра и наличие на диске заверенных цифровой подписью EFI-образов и добавляет их в меню загрузки.
<center><a href="http://freedesktop.org/wiki/Software/gummiboot/gummiboot-men... src="https://www.opennet.ru/opennews/pics_base/0_1422903487.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Дополнительно можно отметить публикацию (http://ma.ttias.be/whats-new-systemd-2015-edition/) тезисов выступления     Леннарта Поттеринга (Lennart Poettering) на конференции FOSDEM,  в котором он рассказал о последних тендерция в разработке systemd и планах на ближайшее будущее.

Некоторые интересные выдержки из доклада:

-  В systemd появится поддержка перезапуска сервисов без потери состояния - каждый демон сможе сохранять на диске своё минимальное состояние и после перезапуска восстановить исходное состояние (systemd сохранит открытые сокеты и файловые дескрипторы и после перезапуска передаст их сервису).-  Ожидается минимальная поддержка средств управления межсетевым экраном в привязке к сервисам, а не номерам портов. Например, вместо определения правил доступа к 80 порту, можно будет привязать правила к http-серверу apache, без оглядки на то, на каком порту он принимает соединения.
-  Приоритетным остаётся подход, при котором большая часть подсистем systemd, за исключением journald, не являются обязательными и могут быть отключены;
-  Работа над компонентами  пространства пользователя для dbus практически завершена;-  Nspawn вырос из системы тестирования системы инициализации без необходимости перезагрузки в систему управления изолированными контейнерами, поддерживающую RAW-образы и docker-подобные контейнеры;-  Под впечатлением от концепции Solaris zone развивается machined - менеджер регистрации виртуальных машин;-  В будущем ожидается появление новых возможностей, связанных с изолированными контейнерами. В конечном счёте, целью является обеспечение работы всех инструментов systemd с оглядкой на контейнеры, например, journald может показывать как логи/сообщения основного хоста, так и всех работающих на нём контейнеров;
-  В следующем выпуске  systemd появится дополнительная поддержка btrfs;
-  В consoled появится поддержка экранов high DPI и Unicode;-  Утилиты systemctl-cat и systemctl-edit позволят отобразить и отредактировать файл конфигурации выбранного юнита (например, "systemctl-cat apache2.service"), без необходимости определения пути.
-  Команда "ping gateway" позволит автоматически определить всех доступные сетевые интерфейсы и проверить их работу утилитой ping;-  Развитие networkd и средств для автоматической настройки сетевой конфигурации в изолированных контейнерах. Создание собственной библиотеки для работы с DHCP (dhcpv4 и dhcpv6);-  Создание средств для проведения системного аудита, например, для ведения полного лога системных вызовов, связанных с /etc/passwd. Добавление средств аудита в journald и реализация в audit-tools возможность чтения сохранённых в journald логов;-  Обеспечение работы систем, не сохраняющих своё состояние (stateless). Генерация содержимого /etc и /var для таких систем.
-  Возможность journald-remoting (http://www.freedesktop.org/software/systemd/man/systemd-jour...) для передачи бинарных логов на удалённый хост с использованием  HTTP  вместо протокола syslog. Поддержка в journald моделей  pull и push: при pull выполняется запрос HTTP GET для получения потока JSON, а при push данные передаются в другой экземпляр journald при помощи HTTP POST. Поддержка данных режимов позволит существенно упросить отправку логов из различных программ, вместо поддержки syslog в которых достаточно будет отправить запрос по HTTP.
-  Возможность определения минимальных пространств имён и sandbox-изоляции для сервисов, например, сделать для выбранных сервисов доступ к /usr и /home в режиме только на чтение или вообще скрыть или запретить доступ. Возможность использования отдельных директорий /tmp для определённых сервисов. Возможность ограничения доступа к файлам устройств /dev/*, с сохранением возможности работы с /dev/zero, /dev/null и т.п.
-  Развитие простого ntp-клиента timesyncd (https://wiki.archlinux.org/index.php/systemd-timesyncd) в качестве минималистичной альтернативы ntpd;-  Автоматическое определение разделов GPT (GUID Partition Table) без их явного перечисления в etc/fstab;

URL: http://www.heise.de/open/meldung/Systemd-will-Linux-Start-pe...
Новость: https://www.opennet.ru/opennews/art.shtml?num=41592

Исходное сообщение
"Добавление в systemd загрузчика для UEFI Secure Boot и други..." Отправлено opennews, 02-Фев-15 23:33
Разработчики системного менеджера systemd намерены (http://www.heise.de/open/meldung/Systemd-will-Linux-Start-pe...) интегрировать в состав пакета поддержку загрузчика gummiboot (http://freedesktop.org/wiki/Software/gummiboot/) для обеспечения верификации процесса загрузки на системах с UEFI Secure Boot. Верификация загрузки позволит гарантировать отсутствие посторонней активности во время начальной загрузки, в том числе присечь попытки запуска подконтрольных злоумышленникам приложений, внедрённых, например, для перехвата ввода паролей к зашифрованным разделам. Ранее поддержка верификации как правило ограничивалась проверкой загрузчика или верификацией загрузки ядра и связанных с ним модулей. Разработчики systemd предлагают расширить число проверяемых компонентов, дав возможность пользователю разрешить загрузку только специально подписанных системных образов начальной загрузки (initramfs). Даже получив доступ к системе атакующие не смогут внести изменения в initramfs чтобы запустить кейлоггер и перехватить ввод пароля к зашифрованному корневому разделу. Загрузчик gummiboot выбран так как он является разработкой (https://www.opennet.ru/opennews/art.shtml?num=34222) Red Hat, изначально поддерживает интеграцию с systemd и не требует (https://plus.google.com/u/0/+KaySievers/posts/GisPmPBsqfK) специальной настройки - он автоматически выявляет конфигурацию ядра и наличие на диске заверенных цифровой подписью EFI-образов и добавляет их в меню загрузки. <center><a href="http://freedesktop.org/wiki/Software/gummiboot/gummiboot-men... src="https://www.opennet.ru/opennews/pics_base/0_1422903487.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center> Дополнительно можно отметить публикацию (http://ma.ttias.be/whats-new-systemd-2015-edition/) тезисов выступления Леннарта Поттеринга (Lennart Poettering) на конференции FOSDEM, в котором он рассказал о последних тендерция в разработке systemd и планах на ближайшее будущее. Некоторые интересные выдержки из доклада: - В systemd появится поддержка перезапуска сервисов без потери состояния - каждый демон сможе сохранять на диске своё минимальное состояние и после перезапуска восстановить исходное состояние (systemd сохранит открытые сокеты и файловые дескрипторы и после перезапуска передаст их сервису).- Ожидается минимальная поддержка средств управления межсетевым экраном в привязке к сервисам, а не номерам портов. Например, вместо определения правил доступа к 80 порту, можно будет привязать правила к http-серверу apache, без оглядки на то, на каком порту он принимает соединения. - Приоритетным остаётся подход, при котором большая часть подсистем systemd, за исключением journald, не являются обязательными и могут быть отключены; - Работа над компонентами пространства пользователя для dbus практически завершена;- Nspawn вырос из системы тестирования системы инициализации без необходимости перезагрузки в систему управления изолированными контейнерами, поддерживающую RAW-образы и docker-подобные контейнеры;- Под впечатлением от концепции Solaris zone развивается machined - менеджер регистрации виртуальных машин;- В будущем ожидается появление новых возможностей, связанных с изолированными контейнерами. В конечном счёте, целью является обеспечение работы всех инструментов systemd с оглядкой на контейнеры, например, journald может показывать как логи/сообщения основного хоста, так и всех работающих на нём контейнеров; - В следующем выпуске systemd появится дополнительная поддержка btrfs; - В consoled появится поддержка экранов high DPI и Unicode;- Утилиты systemctl-cat и systemctl-edit позволят отобразить и отредактировать файл конфигурации выбранного юнита (например, "systemctl-cat apache2.service"), без необходимости определения пути. - Команда "ping gateway" позволит автоматически определить всех доступные сетевые интерфейсы и проверить их работу утилитой ping;- Развитие networkd и средств для автоматической настройки сетевой конфигурации в изолированных контейнерах. Создание собственной библиотеки для работы с DHCP (dhcpv4 и dhcpv6);- Создание средств для проведения системного аудита, например, для ведения полного лога системных вызовов, связанных с /etc/passwd. Добавление средств аудита в journald и реализация в audit-tools возможность чтения сохранённых в journald логов;- Обеспечение работы систем, не сохраняющих своё состояние (stateless). Генерация содержимого /etc и /var для таких систем. - Возможность journald-remoting (http://www.freedesktop.org/software/systemd/man/systemd-jour...) для передачи бинарных логов на удалённый хост с использованием HTTP вместо протокола syslog. Поддержка в journald моделей pull и push: при pull выполняется запрос HTTP GET для получения потока JSON, а при push данные передаются в другой экземпляр journald при помощи HTTP POST. Поддержка данных режимов позволит существенно упросить отправку логов из различных программ, вместо поддержки syslog в которых достаточно будет отправить запрос по HTTP. - Возможность определения минимальных пространств имён и sandbox-изоляции для сервисов, например, сделать для выбранных сервисов доступ к /usr и /home в режиме только на чтение или вообще скрыть или запретить доступ. Возможность использования отдельных директорий /tmp для определённых сервисов. Возможность ограничения доступа к файлам устройств /dev/*, с сохранением возможности работы с /dev/zero, /dev/null и т.п. - Развитие простого ntp-клиента timesyncd (https://wiki.archlinux.org/index.php/systemd-timesyncd) в качестве минималистичной альтернативы ntpd;- Автоматическое определение разделов GPT (GUID Partition Table) без их явного перечисления в etc/fstab; URL: http://www.heise.de/open/meldung/Systemd-will-Linux-Start-pe... Новость: https://www.opennet.ru/opennews/art.shtml?num=41592

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики системного менеджера systemd намерены (http://www.heise.de/open/meldung/Systemd-will-Linux-Start-per-UEFI-Secure-Boot-absichern-2534753.html) 
> интегрировать в состав пакета поддержку загрузчика gummiboot (http://freedesktop.org/wiki/Software/gummiboot/) 
> для обеспечения верификации процесса загрузки на системах с  UEFI Secure 
> Boot. Верификация загрузки позволит гарантировать отсутствие посторонней активности 
> во время начальной загрузки, в том числе присечь попытки запуска подконтрольных 
> злоумышленникам приложений, внедрённых, например, для перехвата ввода паролей к зашифрованным 
> разделам.

> Ранее поддержка верификации как правило ограничивалась проверкой загрузчика или верификацией 
> загрузки ядра и связанных с ним модулей. Разработчики systemd предлагают расширить 
> число проверяемых компонентов, дав возможность пользователю разрешить загрузку только 
> специально подписанных системных образов начальной загрузки (initramfs). Даже получив 
> доступ к системе атакующие не смогут внести изменения в initramfs чтобы 
> запустить кейлоггер и перехватить ввод пароля к зашифрованному корневому разделу.

> Загрузчик gummiboot выбран так как он является разработкой (https://www.opennet.ru/opennews/art.shtml?num=34222) 
> Red Hat, изначально поддерживает интеграцию с systemd и не требует (https://plus.google.com/u/0/+KaySievers/posts/GisPmPBsqfK) 
> специальной настройки - он автоматически выявляет конфигурацию ядра и наличие на 
> диске заверенных цифровой подписью EFI-образов и добавляет их в меню загрузки. 
 
> <center><a href="http://freedesktop.org/wiki/Software/gummiboot/gummiboot-menu.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1422903487.png" style="border-style: 
> solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

> Дополнительно можно отметить публикацию (http://ma.ttias.be/whats-new-systemd-2015-edition/) 
> тезисов выступления  Леннарта Поттеринга (Lennart Poettering) на конференции FOSDEM,  
> в котором он рассказал о последних тендерция в разработке systemd и 
> планах на ближайшее будущее.

> Некоторые интересные выдержки из доклада:

>  -  В systemd появится поддержка перезапуска сервисов без потери состояния 
> - каждый демон сможе сохранять на диске своё минимальное состояние и 
> после перезапуска восстановить исходное состояние (systemd сохранит открытые сокеты и 
> файловые дескрипторы и после перезапуска передаст их сервису). -  Ожидается 
> минимальная поддержка средств управления межсетевым экраном в привязке к сервисам, а 
> не номерам портов. Например, вместо определения правил доступа к 80 порту, 
> можно будет привязать правила к http-серверу apache, без оглядки на то, 
> на каком порту он принимает соединения.
>  -  Приоритетным остаётся подход, при котором большая часть подсистем systemd, 
> за исключением journald, не являются обязательными и могут быть отключены; 
>  -  Работа над компонентами  пространства пользователя для dbus практически 
> завершена; -  Nspawn вырос из системы тестирования системы инициализации без 
> необходимости перезагрузки в систему управления изолированными контейнерами, поддерживающую 
> RAW-образы и docker-подобные контейнеры; -  Под впечатлением от концепции Solaris 
> zone развивается machined - менеджер регистрации виртуальных машин; -  В 
> будущем ожидается появление новых возможностей, связанных с изолированными контейнерами. 
> В конечном счёте, целью является обеспечение работы всех инструментов systemd с 
> оглядкой на контейнеры, например, journald может показывать как логи/сообщения основного 
> хоста, так и всех работающих на нём контейнеров; 
>  -  В следующем выпуске  systemd появится дополнительная поддержка btrfs; 
 
>  -  В consoled появится поддержка экранов high DPI и Unicode; 
> -  Утилиты systemctl-cat и systemctl-edit позволят отобразить и отредактировать файл 
> конфигурации выбранного юнита (например, "systemctl-cat apache2.service"), без необходимости 
> определения пути.
>  -  Команда "ping gateway" позволит автоматически определить всех доступные сетевые 
> интерфейсы и проверить их работу утилитой ping; -  Развитие networkd 
> и средств для автоматической настройки сетевой конфигурации в изолированных контейнерах. 
> Создание собственной библиотеки для работы с DHCP (dhcpv4 и dhcpv6); - 
>  Создание средств для проведения системного аудита, например, для ведения полного 
> лога системных вызовов, связанных с /etc/passwd. Добавление средств аудита в journald 
> и реализация в audit-tools возможность чтения сохранённых в journald логов; - 
>  Обеспечение работы систем, не сохраняющих своё состояние (stateless). Генерация содержимого 
> /etc и /var для таких систем.
>  -  Возможность journald-remoting (http://www.freedesktop.org/software/systemd/man/systemd-journal-remote.html) 
> для передачи бинарных логов на удалённый хост с использованием  HTTP 
>  вместо протокола syslog. Поддержка в journald моделей  pull и 
> push: при pull выполняется запрос HTTP GET для получения потока JSON, 
> а при push данные передаются в другой экземпляр journald при помощи 
> HTTP POST. Поддержка данных режимов позволит существенно упросить отправку логов из 
> различных программ, вместо поддержки syslog в которых достаточно будет отправить запрос 
> по HTTP.
>  -  Возможность определения минимальных пространств имён и sandbox-изоляции для сервисов, 
> например, сделать для выбранных сервисов доступ к /usr и /home в 
> режиме только на чтение или вообще скрыть или запретить доступ. Возможность 
> использования отдельных директорий /tmp для определённых сервисов. Возможность ограничения 
> доступа к файлам устройств /dev/*, с сохранением возможности работы с /dev/zero, 
> /dev/null и т.п.
>  -  Развитие простого ntp-клиента timesyncd (https://wiki.archlinux.org/index.php/systemd-timesyncd) 
> в качестве минималистичной альтернативы ntpd; -  Автоматическое определение разделов GPT 
> (GUID Partition Table) без их явного перечисления в etc/fstab;

> URL: http://www.heise.de/open/meldung/Systemd-will-Linux-Start-per-UEFI-Secure-Boot-absichern-2534753.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=41592

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру