Xz: ¿Puedes encontrar el único carácter que desactivó Landlock en Linux?

 (git.tukaani.org)
1 puntos por GN⁺ 2024-03-31 | 1 comentarios | Compartir por WhatsApp

Corrección de la prueba de la función Landlock en Linux

  • Se corrigió la prueba de la función Landlock en Linux en la configuración de compilación de XZ Utils para los sistemas de compilación Autotools y CMake.
  • En algunos sistemas, el archivo de cabecera linux/landlock.h existe, pero las llamadas al sistema necesarias para usar Landlock en realidad no están definidas.
  • Para resolver esto, se agregó una verificación de compilación para confirmar si la función Landlock está realmente disponible.

Opinión de GN⁺

  • Landlock es una de las funciones de seguridad del kernel de Linux y sirve para reforzar la seguridad al restringir el acceso de los procesos a los recursos. Probar correctamente este tipo de funciones es importante para mantener la seguridad del sistema.
  • El problema mencionado en el artículo puede verse como un ejemplo de los problemas de compatibilidad que surgen por la diversidad de los sistemas Linux. Este es un problema común en el desarrollo de software de código abierto, y los desarrolladores deben seguir esforzándose por resolverlo.
  • Este artículo recuerda a los desarrolladores de software la importancia de probar si una función específica del sistema realmente puede usarse. Esto es todavía más importante cuando se trata de funciones relacionadas con la seguridad.
  • Otros proyectos que ofrecen funciones similares incluyen AppArmor y SELinux del kernel de Linux, que también se usan para reforzar la seguridad del sistema.
  • Al adoptar una tecnología, es necesario revisar a fondo la compatibilidad del sistema y encontrar un equilibrio entre el refuerzo de seguridad que se obtiene al activar funciones como Landlock y los posibles problemas de compatibilidad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-03-31
Opiniones de Hacker News

  • Preocupación por commits recientes

    • Un usuario señaló que un commit reciente está empeorando el reporte de seguridad.
    • Otro usuario proporcionó un enlace al commit relacionado y sugirió una solución.

  • Explicación del sistema de control de acceso Landlock de Linux

    • Para quienes no conocen bien Landlock, se compartió un enlace a la documentación del sistema.

  • Página oficial de respuesta al incidente de xz

    • Se compartió un enlace a la página oficial de respuesta relacionada con la puerta trasera de xz.

  • Confusión causada por polvo en el monitor

    • Un usuario, mientras revisaba todo con mucho cuidado, encontró un punto donde no debía haberlo.
    • Al tocar la pantalla y ver que el punto se movía, se dio cuenta de que era polvo en el monitor.

  • Dataset de entrenamiento de IA para identificar problemas de seguridad

    • Se comentó que el equipo de malware construyó un dataset útil para entrenar IA destinada a identificar problemas de seguridad.
    • Todos los commits tienen problemas de seguridad, y la comunidad de código abierto los identificará.

  • Dudas sobre por qué se desactiva Landlock en xz

    • Un usuario planteó la duda de si la intención era inyectar contenido malicioso en los archivos de xz, o introducir actividad maliciosa en xz mismo.

  • Preocupación por los eslabones débiles en la seguridad del sistema

    • Se comentó que la seguridad del sistema depende de varias cadenas de corrección, y que debió haber varios elementos capaces de impedir esto.
    • También se cuestionó cuál sería el propósito de un archivo de encabezado si no declara la funcionalidad real.

  • Necesidad de verificar la seguridad de blobs binarios

    • Se señaló la ausencia de una prueba única para verificar si los blobs binarios compilados en proyectos de código abierto mantienen la seguridad.
    • Se expresó la opinión de que la estabilidad debería tener prioridad sobre agregar funciones.

  • Importancia de las solicitudes de cambio (MR) y las pruebas

    • Se expresó la expectativa de que una solicitud de cambio venga acompañada de pruebas que demuestren que cumple la función que afirma.
    • También se planteó la duda de cómo una prueba podría verificar si Landlock está activado.

  • Especulación sobre la estrategia de la puerta trasera

    • Se especuló sobre si había intención de agregar más puertas traseras, y si estas podrían haber parecido más plausibles.

  • Propuesta de opciones de compilación para funciones opcionales

    • Se propusieron tres opciones de compilación: activación forzada, activación cuando sea posible y desactivación forzada.

  • Confusión sobre el diff del código

    • Se cuestionó si había un error de sintaxis intencional en el código que detecta, usando cmake, si una función estaba activada.