Недавно разработчики дистрибутива Rocky Linux объявили В своем блоге они объявили о создание новой группы ГИС (Специальная группа по интересам) Безопасность с целью поддержки пакетов, связанных с обеспечением расширенной защиты и предоставлением дополнительных инструментов безопасности.
Тем, кто не знает о Rocky Linux, следует знать, что это «новый дистрибутив Linux», (относительно), разработанный Rocky Enterprise Software Foundation и целью которого является создание бесплатной версии RHEL, способной заменить классическую CentOS, быть «нисходящим» дистрибутивом, выпущенным полностью для поддержки двоичного кода с использованием исходного кода операционной системы Red Hat Enterprise Linux.
Новый репозиторий ГИС в Rocky Linux
Что касается нового репозитория, созданного в Rocky Linux, упоминается, что предполагается, что в «Группе специальных интересов по безопасности» также Альтернативные версии пакетов будут опубликованы. уже существующие, которые предназначен для включения различных механизмов для повышения безопасности или устранения уязвимостей. которые еще не исправлены в RHEL и CentOS Stream.
Таким образом, репозиторий не будет эксклюзивным для дистрибутива, а все разработки будут публиковаться в независимом репозитории, который также можно будет использовать в других дистрибутивах, совместимых с Red Hat Enterprise Linux.
В сообщении блога разработчики Rocky Linux отметим, что миссией службы безопасности является:
- Разрабатывайте и поддерживайте различные пакеты, связанные с безопасностью, которых нет в исходной версии EL (Enterprise Linux).
- Выявлять, разрабатывать и поддерживать изменения, повышающие безопасность, связанные с восходящими пакетами EL.
- Включите/перенесите дополнительные исправления безопасности, которых еще нет в пакетах ELupstream.
- По мере возможности вносите свой вклад в соответствующие начальные этапы.
Со стороны содержимое репозитория, упоминается, что в настоящее время в репозитории предлагаются следующие пакеты: пакет OpenSSH, включающий sshd с меньшим количеством библиотек поделился, про этот пакет упоминается, что он скомпилирован только для ветки RHEL 9, а также родственных пакетов: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.
Помимо этого, он также предлагает модуль ядра LKRG (Linux Kernel Runtime Guard), который предназначен для обнаружения и блокировки как атак, так и нарушений целостности структур ядра (например, модуль может защитить от несанкционированных изменений работающего ядра и попыток изменения разрешений пользовательских процессов, о этот пакет скомпилирован для ветвей RHEL 8 и RHEL 9.
Еще один из пакетов, включенных в репозиторий, — «passwdqc» который используется для мониторинга сложности паролей и парольных фраз, включая модуль pam_passwdqc, программы pwqcheck, pwqfilter и pwqgen, а также библиотеку libpasswdqc. Пакет создан для ветвей RHEL 8 и RHEL 9.
Также в репозитории есть, Glibc, включая улучшения безопасности, разработанные проектом Owl и примененные к ALT Lin.укс. Пакет также включает исправления для блокировки двух уязвимостей: уязвимости в ld.so (CVE-2023-4911), которая позволяет локальному пользователю повысить свои привилегии в системе путем указания специально отформатированных данных в переменной среды GLIBC_TUNABLES, и уязвимости. (CVE-2023-4527) в функции getaddrinfo, что может привести к утечке стека или сбою. Пакет создан для ветки RHEL 9.
Участник Security SIG Solar Designer упомянул следующее в X (ранее Twitter):
Недавно я присоединился к проекту Rocky Linux, и мы запустили репозиторий безопасности, который в настоящее время предлагает некоторые дополнительные и переопределенные пакеты (скоро), в том числе glibc с усиленной безопасностью для дистрибутивов EL9 (скоро EL8) с эффективной защитой от CVE-2023 -4911.
Что касается тех, кто заинтересован в возможности добавить репозиторий в Rocky Linux или в его RHEL-совместимый дистрибутив, они могут сделать это, открыв терминал и введя в нем команду.
dnf install rocky-release-security
наконец, если вы интересно узнать о нем больше, вы можете проверить детали По следующей ссылке.