Linux中國

Greg Kroah-Hartman 解釋內核社區是如何使 Linux 安全的

內核維護者 Greg Kroah-Hartman 談論內核社區如何保護 Linux 不遭受損害。

由於 Linux 使用量持續擴大,內核社區去提高這個世界上使用最廣泛的技術 —— Linux 內核的安全性的重要性越來越高。安全不僅對企業客戶很重要,它對消費者也很重要,因為 80% 的移動設備都使用了 Linux。在本文中,Linux 內核維護者 Greg Kroah-Hartman 帶我們了解內核社區如何應對威脅。

bug 不可避免

![Greg Kroah-Hartman](/data/attachment/album/201811/25/222755jxgjukuijggjnu3v.png "Greg Kroah-Hartman")

Greg Kroah-Hartman Linux 基金會

正如 Linus Torvalds 曾經說過的,大多數安全問題都是 bug 造成的,而 bug 又是軟體開發過程的一部分。是軟體就有 bug。

Kroah-Hartman 說:「就算是 bug,我們也不知道它是安全的 bug 還是不安全的 bug。我修復的一個著名 bug,在三年後才被 Red Hat 認定為安全漏洞「。

在消除 bug 方面,內核社區沒有太多的辦法,只能做更多的測試來尋找 bug。內核社區現在已經有了自己的安全團隊,它們是由熟悉內核核心的內核開發者組成。

Kroah-Hartman 說:」當我們收到一個報告時,我們就讓參與這個領域的核心開發者去修復它。在一些情況下,他們可能是同一個人,讓他們進入安全團隊可以更快地解決問題「。但他也強調,內核所有部分的開發者都必須清楚地了解這些問題,因為內核是一個可信環境,它必須被保護起來。

Kroah-Hartman 說:」一旦我們修復了它,我們就將它放到我們的棧分析規則中,以便於以後不再重新出現這個 bug。「

除修復 bug 之外,內核社區也不斷加固內核。Kroah-Hartman 說:「我們意識到,我們需要一些主動的緩減措施,因此我們需要加固內核。」

Kees Cook 和其他一些人付出了巨大的努力,帶來了一直在內核之外的加固特性,並將它們合併或適配到內核中。在每個內核發行後,Cook 都對所有新的加固特性做一個總結。但是只加固內核是不夠的,供應商們必須要啟用這些新特性來讓它們充分發揮作用,但他們並沒有這麼做。

Kroah-Hartman 每周發布一個穩定版內核,而為了長期的支持,公司們只從中挑選一個,以便於設備製造商能夠利用它。但是,Kroah-Hartman 注意到,除了 Google Pixel 之外,大多數 Android 手機並不包含這些額外的安全加固特性,這就意味著,所有的這些手機都是有漏洞的。他說:「人們應該去啟用這些加固特性」。

Kroah-Hartman 說:「我購買了基於 Linux 內核 4.4 的所有旗艦級手機,去查看它們中哪些確實升級了新特性。結果我發現只有一家公司升級了它們的內核。……我在整個供應鏈中努力去解決這個問題,因為這是一個很棘手的問題。它涉及許多不同的組織 —— SoC 製造商、運營商等等。關鍵點是,需要他們把我們辛辛苦苦設計的內核去推送給大家。」

好消息是,與消費電子產品不一樣,像 Red Hat 和 SUSE 這樣的大供應商,在企業環境中持續對內核進行更新。使用容器、pod 和虛擬化的現代系統做到這一點更容易了。無需停機就可以毫不費力地更新和重啟。事實上,現在來保證系統安全相比過去容易多了。

Meltdown 和 Spectre

沒有任何一個關於安全的討論能夠避免提及 Meltdown 和 Spectre 缺陷。內核社區一直致力於修改新發現的和已查明的安全漏洞。不管怎樣,Intel 已經因為這些事情改變了它們的策略。

Kroah-Hartman 說:「他們已經重新研究如何處理安全 bug,以及如何與社區合作,因為他們知道他們做錯了。內核已經修復了幾乎所有大的 Spectre 問題,但是還有一些小問題仍在處理中」。

好消息是,這些 Intel 漏洞使得內核社區正在變得更好。Kroah-Hartman 說:「我們需要做更多的測試。對於最新一輪的安全補丁,在它們被發布之前,我們自己花了四個月時間來測試它們,因為我們要防止這個安全問題在全世界擴散。而一旦這些漏洞在真實的世界中被利用,將讓我們認識到我們所依賴的基礎設施是多麼的脆弱,我們多年來一直在做這種測試,這確保了其它人不會遭到這些 bug 的傷害。所以說,Intel 的這些漏洞在某種程度上讓內核社區變得更好了」。

對安全的日漸關注也為那些有才華的人創造了更多的工作機會。由於安全是個極具吸引力的領域,那些希望在內核空間中有所建樹的人,安全將是他們一個很好的起點。

Kroah-Hartman 說:「如果有人想從事這方面的工作,我們有大量的公司願意僱傭他們。我知道一些開始去修復 bug 的人已經被他們僱傭了。」

你可以在下面鏈接的視頻上查看更多的內容:

via: https://www.linux.com/blog/2018/10/greg-kroah-hartman-explains-how-kernel-community-securing-linux-0

作者:SWAPNIL BHARTIYA 選題:oska874 譯者:qhwdw 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國