Các Các nhà phát triển SUSE đã công bố kế hoạch vô hiệu hóa các hệ thống tệp lỗi thời hoặc ít được sử dụng tương thích với hạt nhân Linux theo mặc định. Thay đổi này được lên kế hoạch đưa vào các bản phát hành trong tương lai của SLE 15-SP1 và OpenSUSE Leap 15.1.
Lý do là mong muốn bảo vệ hệ thống khỏi các cuộc tấn công có thể xảy ra bằng cách kết nối phương tiện với các hệ thống tệp được sửa đổi đặc biệt khai thác các lỗ hổng trong việc triển khai của chúng.
Như đã nêu trong tuyên bố:
SUSE sẽ đưa vào danh sách cấm một số hệ thống tệp kế thừa và / hoặc ít được sử dụng theo mặc định trong SLES vì lý do bảo mật.
Danh sách đề xuất có thể xem ở đây.
Câu hỏi bây giờ là liệu chúng ta có nên làm điều tương tự đối với openSUSE hay không.
Tôi đoán là trong khi danh sách trên có lẽ không gây tranh cãi đối với khách hàng doanh nghiệp, người dùng openSUSE có thể phản đối một số mặt hàng trong danh sách.
Các hệ thống tệp ít được sử dụng hơn sẽ bị đưa vào danh sách đen
Các mô-đun với việc triển khai 21 hệ thống tệp nằm trong danh sách đen và sẽ không tải theo mặc định khi kết nối ổ đĩa với dữ liệu hệ thống tệp.
Thay đổi chỉ ảnh hưởng đến việc tải tự động các mô-đun khi được gắn với tính năng tự động phát hiện một số hệ thống tệp.
Trong mọi trường hợp, người dùng nên lưu ý rằng ngay cả khi chúng tôi làm điều này, bạn có thể kích hoạt lại hệ thống tệp bạn cần bằng cách chỉ cần nhận xét các dòng trong tệp danh sách đen.
Người dùng vẫn có thể mount hệ thống tập tin theo cách thủ công bằng lệnh mount, bằng cách chỉ định rõ ràng loại hệ thống tệp (ví dụ: "mount -t jfs") hoặc bằng cách tải mô-đun được yêu cầu (ví dụ: "modprobe jfs").
Người ta lưu ý rằng đối với nhiều hệ thống tệp hỗ trợ danh sách đen trong một thời gian dài, nó chỉ cần duy trì khả năng tương thích với API hạt nhân Và mã sẽ không bao giờ được kiểm tra và có thể chứa các lỗ hổng có thể bị khai thác bằng cách kết nối ổ đĩa độc hại bên ngoài.
Hệ thống tệp F2FS, được sử dụng trong ổ đĩa flash của thiết bị di động, đã được liệt kê tích cực FS bị khóa theo mặc định, bao gồm cả hệ thống tệp F2FS của Samsung.
Lý do cho F2FS vào danh sách đen là thiếu cơ chế xác định phiên bản hệ thống tệp trên hệ thống tệp này, cơ chế này không đảm bảo duy trì tính tương thích trong các bản sửa lỗi bảo mật backporting.
Hiện tại, thành phần của danh sách đen như sau:
- quảng cáo
- afs
- bạn trai
- trước
- chuột rút
- efs
- xói mòn
- ngoại trừ
- freevxfs
- f2fs
- hfs (đã lưu tự động chạy mô-đun hfsplus)
- hpfs (OS/2)
- jffs2
- jfs
- Minix
- nilfs2
- qnx4
- qnx6
- sysv
- ubif
- ufs
Các hệ thống tệp khác cũng được chú trọng
Bên cạnh những cũng có kế hoạch thêm hệ thống tệp omfs và ntfs . danh sách (ntfs đã không được phát triển trong một thời gian dài, vì vậy hiện tại nên sử dụng ntfs-3g)
Không phải là NTFS không được sử dụng rộng rãi; Chỉ sự chú ý duy nhất mà
mô-đun hạt nhân ntfs đã được nhìn thấy từ năm 2007.
Mặc dù ý tưởng theo quan điểm nhanh chóng và thực tế không phải là xấu, nhưng thực tế là Nó đã bắt đầu tạo ra một cuộc thảo luận vì nó không phải là một ý tưởng tuyệt vời.
Và như đã nhận xét, về hệ thống tệp cục bộ, đại đa số người dùng sử dụng:
ext2 / 3/4, xfs, btrfs và reiserfs. Trong khi OCFS2 và GFS2 phổ biến đến mức bạn không muốn đưa chúng vào danh sách đen.
Phần còn lại là để tương thích với các hệ điều hành cũ hoặc hiếm, đối với phương tiện flash thuần túy (nghĩa là không có FTL) hoặc có các vấn đề bảo trì khác (f2fs). Có người dùng nào ngoài đó cho bất kỳ người nào trong số này không?
Tôi chắc rằng có một số ít. Tôi chỉ không nghĩ rằng nó đáng để bỏ đi một cái mà phần lớn người dùng có thể đáp ứng một số ít.