ڪمپني ڪرنل ڊولپرز جي ميلنگ لسٽ تي بحث لاءِ مسئلو پوسٽ ڪيو. Linux LSM ماڊيول ڪوڊ IPE (انٽيگريٽي پاليسي انفورسمينٽ) ميڪانيزم کي لاڳو ڪري ٿو، موجوده لازمي رسائي ڪنٽرول سسٽم کي وڌائي ٿو. ليبلز ۽ رستن تي ڀروسو ڪرڻ جي بدران، IPE سسٽم جي جزو جي مسلسل خاصيتن جي بنياد تي آپريشن جي اجازت ڏيڻ يا رد ڪرڻ جا فيصلا ڪرڻ جي اجازت ڏئي ٿو جنهن تي ڪم ڪيو پيو وڃي. ماڊيول سڄي سسٽم لاءِ هڪ عام سالميت پاليسي کي بيان ڪرڻ جي اجازت ڏئي ٿو، اهو بيان ڪري ٿو ته ڪهڙن آپريشنن جي اجازت آهي ۽ حصن جي صداقت جي تصديق ڪيئن ٿيڻ گهرجي.
IPE جو مقصد مڪمل طور تي تصديق ٿيل سسٽم ٺاهڻ جو مقصد آهي جنهن جي سالميت جي تصديق ٿيل آهي بوٽ لوڊر ۽ ڪرنل کان حتمي عملدار، ترتيب ۽ بوٽ فائلن تائين. مثال طور، IPE استعمال ڪندي، توھان وضاحت ڪري سگھوٿا ته ڪھڙين قابل عمل فائلن کي هلائڻ جي اجازت آھي، انھن جي تعميل کي مدنظر رکندي ريفرنس ورزن جي استعمال سان dm-verity سسٽم پاران مهيا ڪيل cryptographic hashes. جيڪڏهن هڪ فائل تبديل ڪئي وئي آهي يا تبديل ڪئي وئي آهي، IPE آپريشن کي بلاڪ ڪري سگهي ٿو يا سالميت جي خلاف ورزي جي حقيقت کي لاگ ان ڪري سگهي ٿو.
تجويز ڪيل ميکانيزم کي ايمبيڊڊ ڊوائيسز لاءِ فرم ویئر ۾ استعمال ڪري سگهجي ٿو، جنهن ۾ سڀئي سافٽ ويئر ۽ سيٽنگون خاص طور تي گڏ ڪيون وينديون آهن ۽ مالڪ طرفان مهيا ڪيل هونديون آهن، مثال طور، Microsoft ڊيٽا سينٽرن ۾، IPE فائر وال سامان ۾ استعمال ٿيندو آهي. ڇا IPE کي ٻين سالميت جي چڪاس واري نظام کان ڌار ڪري ٿو، جهڙوڪ IMA، FS ۾ ميٽا ڊيٽا کان ان جي آزادي آهي - سڀئي خاصيتون جيڪي آپريشن جي اجازت جو تعين ڪن ٿيون سڌو سنئون ڪني ۾ محفوظ ٿيل آهن.
ضابطا بيان ڪيا ويا آهن ٽيڪسٽ فارم ۾ ڪي-ويليو سيٽ استعمال ڪندي. بنيادي آهن ”اوپي“ ڪي، جيڪا آپريشن جي وضاحت ڪري ٿي جنهن تي قاعدو لاڳو ٿئي ٿو (مثال طور، op=EXECUTE ڪم ڪندو جڏهن عمل ڪرڻ جي ڪوشش ڪئي ويندي)، ۽ ”ايڪشن“ ڪي، جيڪا عمل جي وضاحت ڪري ٿي (مثال طور، ” عمل = انڪار" بلاڪ ڪرڻ لاءِ). ضابطا پراپرٽيز جا پابند آهن جيڪي خارجي سبسسٽم پاران مهيا ڪيل آهن جهڙوڪ dm-verity ۽ fs-verity.
مثال طور، ضابطا op=EXECUTE boot_verified=TRUE action=ALLOW op=EXECUTE dmverity_signature=FALSE action=DENY op=EXECUTE fsverity_digest=sha256:401fce…0dec146938 action=DENY صرف اجازت ڏيندو بوٽنگ جي، پروٽيڊ ٿيل حصو لانچ ڪرڻ واري فائل کي. پارٽيشنن مان جن ۾ dm-verity ۾ دستخط نه هوندا آهن، ۽ هيش "401fce...0dec146938" سان فائل جي عمل کي به چونڊيل طور تي منع ڪندو.
بوٽ قاعدن جو هڪ ابتدائي سيٽ SECURITY_IPE_BOOT_POLICY سيٽنگ استعمال ڪندي بيان ڪيو ويو آهي ۽ شامل ڪيل ڪنيبل تعمير جي حصي طور شامل ڪيو ويو آهي، ۽ ٻيا ضابطا شامل ڪيا ويا آهن جيئن ضرورت فائل /sys/kernel/security/ipe/new_policy ذريعي. منتقل ٿيل ضابطا انڪريپٽ ٿيل آھن سرٽيفڪيٽ استعمال ڪندي بيان ڪيل SYSTEM_TRUSTED_KEYRING.
عام-مقصد سسٽم تي، اهو تجويز ڪيو ويو آهي ته IPE کي استعمال ڪرڻ جي ميلاپ ۾ DIGLIM ميڪانيزم سان Huawei پاران ٺاهيل. DIGLIM eBPF استعمال ڪندي لاڳو ڪيو ويو آهي ۽ توهان کي اجازت ڏئي ٿو انفرادي فائلن جي سطح تي سالميت ڪنٽرول کي آساني سان لاڳو ڪرڻ جي باقاعده تقسيم ۾ انهن کي ٻيهر ڊزائين ڪرڻ جي ضرورت کان سواءِ (اهو پيش ڪيو ويو آهي محفوظ بوٽ جي مختلف قسم جي طور تي جيڪو ايپليڪيشن سطح تي ڪم ڪري ٿو). DIGLIM جو خلاصو فائلن ۽ ميٽا ڊيٽا لاءِ تصديق واري هيش جي پول کي برقرار رکڻ آهي، ۽ ايگزيڪيوٽو فائلن تائين رسائي صرف ان صورت ۾ مهيا ڪرڻ آهي جڏهن ان جو هيش پول ۾ موجود هجي. هيش جي فهرست RPM پيڪيج مينيجر مان حاصل ڪري سگهجي ٿي يا دستي طور تي صارف پاران ٺاهيل.
جو ذريعو: opennet.ru
