Greg Kroah-Hartman 解釋內核社區是如何使 Linux 安全的

內核維護者 Greg Kroah-Hartman 談論內核社區如何保護 Linux 不遭受損害。

由於 Linux 使用量持續擴大，內核社區去提高這個世界上使用最廣泛的技術 —— Linux 內核的安全性的重要性越來越高。安全不僅對企業客戶很重要，它對消費者也很重要，因為 80% 的移動設備都使用了 Linux。在本文中，Linux 內核維護者 Greg Kroah-Hartman 帶我們了解內核社區如何應對威脅。

bug 不可避免


Greg Kroah-Hartman Linux 基金會

正如 Linus Torvalds 曾經說過的，大多數安全問題都是 bug 造成的，而 bug 又是軟體開發過程的一部分。是軟體就有 bug。

Kroah-Hartman 說：「就算是 bug，我們也不知道它是安全的 bug 還是不安全的 bug。我修復的一個著名 bug，在三年後才被 Red Hat 認定為安全漏洞「。

在消除 bug 方面，內核社區沒有太多的辦法，只能做更多的測試來尋找 bug。內核社區現在已經有了自己的安全團隊，它們是由熟悉內核核心的內核開發者組成。

Kroah-Hartman 說：」當我們收到一個報告時，我們就讓參與這個領域的核心開發者去修復它。在一些情況下，他們可能是同一個人，讓他們進入安全團隊可以更快地解決問題「。但他也強調，內核所有部分的開發者都必須清楚地了解這些問題，因為內核是一個可信環境，它必須被保護起來。

Kroah-Hartman 說：」一旦我們修復了它，我們就將它放到我們的棧分析規則中，以便於以後不再重新出現這個 bug。「

除修復 bug 之外，內核社區也不斷加固內核。Kroah-Hartman 說：「我們意識到，我們需要一些主動的緩減措施，因此我們需要加固內核。」

Kees Cook 和其他一些人付出了巨大的努力，帶來了一直在內核之外的加固特性，並將它們合併或適配到內核中。在每個內核發行後，Cook 都對所有新的加固特性做一個總結。但是只加固內核是不夠的，供應商們必須要啟用這些新特性來讓它們充分發揮作用，但他們並沒有這麼做。

Kroah-Hartman 每周發布一個穩定版內核，而為了長期的支持，公司們只從中挑選一個，以便於設備製造商能夠利用它。但是，Kroah-Hartman 注意到，除了 Google Pixel 之外，大多數 Android 手機並不包含這些額外的安全加固特性，這就意味著，所有的這些手機都是有漏洞的。他說：「人們應該去啟用這些加固特性」。

Kroah-Hartman 說：「我購買了基於 Linux 內核 4.4 的所有旗艦級手機，去查看它們中哪些確實升級了新特性。結果我發現只有一家公司升級了它們的內核。……我在整個供應鏈中努力去解決這個問題，因為這是一個很棘手的問題。它涉及許多不同的組織 —— SoC 製造商、運營商等等。關鍵點是，需要他們把我們辛辛苦苦設計的內核去推送給大家。」

好消息是，與消費電子產品不一樣，像 Red Hat 和 SUSE 這樣的大供應商，在企業環境中持續對內核進行更新。使用容器、pod 和虛擬化的現代系統做到這一點更容易了。無需停機就可以毫不費力地更新和重啟。事實上，現在來保證系統安全相比過去容易多了。

Meltdown 和 Spectre

沒有任何一個關於安全的討論能夠避免提及 Meltdown 和 Spectre 缺陷。內核社區一直致力於修改新發現的和已查明的安全漏洞。不管怎樣，Intel 已經因為這些事情改變了它們的策略。

Kroah-Hartman 說：「他們已經重新研究如何處理安全 bug，以及如何與社區合作，因為他們知道他們做錯了。內核已經修復了幾乎所有大的 Spectre 問題，但是還有一些小問題仍在處理中」。

好消息是，這些 Intel 漏洞使得內核社區正在變得更好。Kroah-Hartman 說：「我們需要做更多的測試。對於最新一輪的安全補丁，在它們被發布之前，我們自己花了四個月時間來測試它們，因為我們要防止這個安全問題在全世界擴散。而一旦這些漏洞在真實的世界中被利用，將讓我們認識到我們所依賴的基礎設施是多麼的脆弱，我們多年來一直在做這種測試，這確保了其它人不會遭到這些 bug 的傷害。所以說，Intel 的這些漏洞在某種程度上讓內核社區變得更好了」。

對安全的日漸關注也為那些有才華的人創造了更多的工作機會。由於安全是個極具吸引力的領域，那些希望在內核空間中有所建樹的人，安全將是他們一個很好的起點。

Kroah-Hartman 說：「如果有人想從事這方面的工作，我們有大量的公司願意僱傭他們。我知道一些開始去修復 bug 的人已經被他們僱傭了。」

你可以在下面鏈接的視頻上查看更多的內容：

via: https://www.linux.com/blog/2018/10/greg-kroah-hartman-explains-how-kernel-community-securing-linux-0

作者：SWAPNIL BHARTIYA 選題：oska874 譯者：qhwdw 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive