web analytics
kernel linux news

Linux news: nuova gestione dei processi e il modulo IPE di Microsoft

Vi aggiorno circa due interessanti novità in arrivo nel kernel Linux. La prima riguarda la creazione dei processi che sarà profondamente rivista in Linux 5.7, prossima release del kernel di cui vi ho già parlato per l’arrivo di migliorie nella gestione dei floppy disk e dei driver open per le schede video Nvidia. La seconda riguarda l’introduzione da parte di Microsoft di un security-module chiamato IPE. Andiamo con ordine.

Linux – Creazione di processi

A partire da Linux 5.7 sarà possibile generare un processo figlio in un diverso “cgroup” attraverso una semplice sys call. Per chi non lo sapesse i cgroup permettono di raggruppare alcuni processi fornendo loro risorse o comandi specifici. Questa novità permetterà di migliorare l’efficienza e di fare a meno di tutti i passaggi intermedi (write lock, copia, etc…). La system call in questione sarà clone3.

linux kernel cgroup

Più nel dettaglio, queste le implicazioni tecniche:

  1. Le app thread-based possono creare un layout apposito per un cgroup. In tal caso ogni thread viene generato direttamente in un cgroup dedicato.
  2. Un gestore dei servizi sarà in grado di creare un servizio direttamente in un cgroup dedicato;
  3. Minor ritardo;
  4. Un processo può essere creato in un cgroup congelato.

Per ulteriori dettagli vi rimando alla mailing list ufficiale.

Microsoft presenta il modulo IPE

Microsoft ha presentato un progetto che ambisce a migliorare l’integrità e la sicurezza del kernel. La casa di Redmond ha lanciato un nuovo LSM (Linux Security Module) chiamato IPE (Integrity Policy Enforcement).

Il componente aggiuntivo del kernel offre agli amministratori la possibilità di configurare criteri in grado di far rispettare i requisiti di integrità del sistema. È possibile creare un elenco di file binari che possono essere eseguiti e specificare gli attributi che devono essere controllati prima che l’esecuzione sia consentita.

Microsoft non ha progettato IPE pensando ai sistemi Linux general-purpose. Piuttosto, è destinato all’uso su dispositivi che hanno uno scopo specifico, come i sistemi integrati creati, configurati e gestiti dal proprietario. Microsoft pensa, ad esempio, ad un  firewall di rete in un data center.

La società sottolinea che per la migliore sicurezza possibile, è importante verificare il kernel e il filesystem di root.

Idealmente, un sistema che sfrutta l’IPE non è destinato all’elaborazione per scopi generici e non utilizza alcun software o configurazione creata da terzi. Un sistema ideale per sfruttare l’IPE ha componenti sia mutabili che immutabili, tuttavia, tutto il codice eseguibile deve essere  immutabile.

queste le parole di Microsoft riportate nella documentazione ufficiale del modulo IPE.

Trovate ulteriori dettagli sulla pagina GitHub dedicata all’integrity Policy Enforcement (IPE).

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Altre storie
docker malware ddos
Trend Micro Report: Server Docker infettati da malware