Com o Fedora 36 a caminho do lançamento ainda este mês, mais atenção e planejamento dos desenvolvedores estão se voltando para o Fedora 37, que será lançado neste outono. Uma das mudanças que estão sendo comentadas nesta semana é a assinatura de conteúdos RPM para uma forma de confiar nos arquivos que são executados.
A proposta de mudança do Fedora 37 é adicionar assinaturas baseadas em IMA aos arquivos individuais que fazem parte dos pacotes RPM enviados. Isso permitirá a aplicação de políticas de tempo de execução por administradores de sistema para garantir a execução apenas de arquivos confiáveis ou políticas semelhantes.
O Fedora 36 será lançado em algumas semanas, enquanto já há conversas sobre o Fedora 37 para lançamento no final do ano.
Os arquivos dentro de RPMs seriam assinados com assinaturas IMA usando uma chave que é mantida pela equipe de infraestrutura do Fedora e instalada nos cofres de assinatura. Essas assinaturas podem ser usadas com a Integrity Measurement Architecture do kernel Linux para permitir a execução com base na política. Isso não impediria, por padrão, que os usuários executassem binários/pacotes não oficiais ou similares, mas todas as peças estariam lá para os administradores de sistema que desejam impor essa política. Em outras palavras, nenhuma restrição seria colocada em prática para o "usuário médio do Fedora".
A desvantagem dessa assinatura de RPM é um pequeno aumento no tamanho dos RPMs assinados (cerca de 1% maior), enquanto o tamanho do banco de dados RPM pode aumentar em cerca de 20% com base em testes.
Os interessados nos planos de assinatura de RPM do Fedora para o F37 podem ver esta proposta de mudança para todos os detalhes sobre este provável recurso de segurança chegando ao Fedora Linux na segunda metade do ano.
Até a próxima !!
Nenhum comentário:
Postar um comentário