微軟發(fā)布了有關(guān)該公司一直致力的 Linux 內核新項目的詳細信息。該項目名為 Integrity Policy Enforcement(IPE)，是 Linux 安全模塊(Linux Security Module，LSM)，它允許可配置的策略在整個(gè)系統上強制執行完整性要求。

　　IPE 是微軟為解決 Linux 的代碼完整性問(wèn)題而進(jìn)行的嘗試。分為兩個(gè)主要部分：由 LSM 提供的可配置策略(“IPE Core”)，以及由內核提供的用于評估文件的確定性屬性(“IPE Properties”)。目前，IPE 尚處于 RFC(request for comments)狀態(tài)。

　　在啟用了 IPE 的 Linux 系統上，系統管理員可以創(chuàng )建允許執行的二進(jìn)制文件列表，然后添加內核在運行每個(gè)二進(jìn)制文件之前需要檢查的驗證屬性。如果攻擊者更改了二進(jìn)制文件，IPE 還可以阻止惡意代碼的執行。

　　微軟方面表示，IPE 設計用于具有特定目的的設備，例如嵌入式系統(e.g. 數據中心中的網(wǎng)絡(luò )防火墻設備)，其中所有軟件和配置均由管理員構建和提供。理想情況下，利用 IPE 的系統不適用于通用計算，也不使用第三方構建的任何軟件或配置。

　　IPE 支持兩種操作模式：permissive 模式(類(lèi)似于 SELinux 的 permissive 模式)和 enforce 模式。 其中，enforce 模式是默認模式。Permissive 模式執行與 enforce 模式相同的檢查，并記錄 policy violations 情況，但其不會(huì )強制執行策略，這使得用戶(hù)可以在 enforce 策略之前對其進(jìn)行測試。

　　此外，微軟稱(chēng)，與 Linux 內核中已有的用于代碼完整性的 LSM(例如 IMA)不同的是，IPE 不依賴(lài)于文件系統元數據，并且因為 IPE 屬性是僅存在于內核中的確定性屬性，所以它不需要像 IMA 一樣需要 IMA 簽名的其他代碼。
　?。?a href="http://www.021kan.com">河北小程序開(kāi)發(fā)）

世上首個(gè)被數學(xué)證明安全...

Facebook發(fā)布情侶專(zhuān)用雙...