Rocky Linux 是一个发行版,其目标是创建一个免费的 RHEL 编译版本,以取代经典的 CentOS
最近 “Rocky Linux”发行版的开发者宣布 他们通过博客文章宣布 创建新的 GIS 组 (特殊兴趣组)安全性,目的是维护与提供高级保护和提供附加安全工具相关的软件包。
对于那些不了解 Rocky Linux 的人,您应该知道,这是由 Rocky Enterprise Software Foundation 开发的(相对)“新 Linux 发行版”,其目标是创建能够替代经典 CentOS 的免费版本 RHEL,以是一个“下游”发行版,使用 Red Hat Enterprise Linux 操作系统源代码完全发布以支持二进制代码。
Rocky Linux 上的新 GIS 存储库
关于在 Rocky Linux 中创建的新存储库,提到了: 其目的是 在“安全特别兴趣小组”中也 将发布软件包的替代版本 已经存在的 旨在包括各种机制来提高安全性或解决漏洞 RHEL 和 CentOS Stream 中尚未修补。
因此,该存储库不会是该发行版专有的,但所有开发都将发布在一个独立的存储库中,该存储库也可以在与红帽企业 Linux 兼容的其他发行版中使用。
在博客文章中,Rocky Linux 开发人员 提到安全 SIG 的使命是:
- 开发和维护 EL(企业 Linux)上游中未找到的各种安全相关软件包。
- 识别、开发和维护与上游 EL 数据包相关的安全强化更改。
- 包含/移植 ELupstream 软件包中尚未包含的其他安全修复程序。
- 在可行时为各自的初始阶段做出贡献。
在一部分 存储库内容,提到存储库中当前提供了以下软件包, 包含 sshd 的 OpenSSH 软件包,但库较少 共享,关于这个包,提到它只针对RHEL 9分支编译,还有相关的包:pam_ssh_agent_auth、libnsl、nscd、nss_db、nss_hesiod。
除此之外,它还提供 LKRG 内核模块 (Linux Kernel Runtime Guard),旨在检测和阻止攻击和违反内核结构完整性的行为(例如,该模块可以防止对正在运行的内核进行未经授权的更改以及尝试更改用户进程的权限,大约该软件包是为 RHEL 8 和 RHEL 9 分支编译的。
存储库中包含的另一个软件包是 «密码» 用于监控密码和密码短语的复杂性,包括 pam_passwdqc 模块、pwqcheck、pwqfilter 和 pwqgen 程序以及 libpasswdqc 库。 该软件包是为 RHEL 8 和 RHEL 9 分支构建的。
存储库中还有, Glibc 包括由 Owl 项目开发并应用于 ALT Lin 的安全改进用户体验。 该软件包还包含用于阻止两个漏洞的修复:ld.so 中的一个漏洞 (CVE-2023-4911),该漏洞允许本地用户通过在 GLIBC_TUNABLES 环境变量中指定特殊格式的数据来提升其在系统上的权限,以及一个漏洞(CVE-2023-4527) 在 getaddrinfo 函数中,这可能会导致堆栈泄漏或崩溃。 该软件包是为 RHEL 9 分支构建的。
安全 SIG 贡献者 Solar Designer 在 X(以前的 Twitter)上提到了以下内容:
我最近加入了 Rocky Linux 项目,我们启动了安全存储库,该存储库目前提供了一些附加和覆盖软件包(很快会提供更多),包括针对 EL9 发行版(很快会是 EL8)具有强化安全性的 glibc,可有效缓解 CVE-2023 -4911
对于那些有兴趣在 Rocky Linux 或其 RHEL 兼容发行版中添加存储库的人,他们可以通过打开终端并在其中键入命令来实现
dnf install rocky-release-security
最后,如果你是 有兴趣了解更多关于它的信息, 您可以查看详细信息 在下面的链接中。