Xz: Bạn có tìm ra đúng một ký tự đã vô hiệu hóa Linux Landlock không?

 (git.tukaani.org)
1 điểm bởi GN⁺ 2024-03-31 | 1 bình luận | Chia sẻ qua WhatsApp

Sửa bài kiểm tra tính năng Landlock trên Linux

  • Đã sửa bài kiểm tra tính năng Linux Landlock trong cấu hình build của XZ Utils trên cả hệ thống build Autotools và CMake.
  • Trên một số hệ thống, tệp header linux/landlock.h có tồn tại, nhưng các system call cần để thực sự sử dụng Landlock lại không được định nghĩa.
  • Để khắc phục, đã bổ sung kiểm tra biên dịch nhằm xác nhận liệu tính năng Landlock có thực sự khả dụng hay không.

Ý kiến của GN⁺

  • Landlock là một trong những tính năng bảo mật của nhân Linux, có vai trò tăng cường bảo mật bằng cách hạn chế quyền truy cập tài nguyên của tiến trình. Việc kiểm tra chính xác các tính năng như vậy rất quan trọng để duy trì an toàn cho hệ thống.
  • Vấn đề được nhắc đến trong bài có thể xem là một ví dụ về lỗi tương thích phát sinh do sự đa dạng của các hệ thống Linux. Đây là vấn đề thường gặp trong quá trình phát triển phần mềm mã nguồn mở, và các nhà phát triển cần liên tục nỗ lực để giải quyết.
  • Bài viết này nhắc các nhà phát triển phần mềm về tầm quan trọng của việc kiểm tra khả năng sử dụng thực tế của những tính năng hệ thống cụ thể. Đặc biệt, điều này càng quan trọng hơn khi xử lý các tính năng liên quan đến bảo mật.
  • Những dự án khác cung cấp chức năng tương tự có AppArmor và SELinux của nhân Linux, cũng được dùng để tăng cường bảo mật hệ thống.
  • Khi áp dụng công nghệ, cần rà soát kỹ tính tương thích của hệ thống, đồng thời tìm điểm cân bằng giữa việc tăng cường bảo mật nhờ kích hoạt các tính năng như Landlock và các vấn đề tương thích tiềm ẩn.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-03-31
Ý kiến trên Hacker News

  • Lo ngại về commit gần đây

    • Một người dùng chỉ ra rằng commit gần đây đang làm tình hình báo cáo bảo mật trở nên tệ hơn.
    • Một người dùng khác cung cấp liên kết đến commit liên quan như một hướng giải quyết.

  • Giải thích về hệ thống kiểm soát truy cập Landlock của Linux

    • Với những người chưa quen với Landlock, một liên kết đến tài liệu của hệ thống này đã được cung cấp.

  • Trang phản hồi chính thức của sự cố xz

    • Một liên kết đến trang phản hồi chính thức liên quan đến backdoor xz đã được cung cấp.

  • Sự nhầm lẫn do bụi trên màn hình

    • Một người dùng khi soi rất kỹ đã phát hiện một dấu chấm ở nơi lẽ ra không nên có.
    • Khi chạm vào màn hình và thấy dấu chấm di chuyển, họ nhận ra đó là bụi trên màn hình.

  • Bộ dữ liệu huấn luyện AI để nhận diện vấn đề bảo mật

    • Có ý kiến cho rằng nhóm malware đã xây dựng một bộ dữ liệu hữu ích để huấn luyện AI nhận diện các vấn đề bảo mật.
    • Mọi commit đều có vấn đề bảo mật, và cộng đồng mã nguồn mở sẽ nhận diện được chúng.

  • Thắc mắc về lý do vô hiệu hóa Landlock trong xz

    • Một người dùng đặt câu hỏi liệu mục đích là chèn nội dung độc hại vào kho lưu trữ xz, hay là chèn hoạt động độc hại vào chính xz.

  • Lo ngại về các mắt xích lỏng lẻo trong bảo mật hệ thống

    • Có ý kiến cho rằng bảo mật hệ thống đang phụ thuộc vào nhiều chuỗi tính đúng đắn, và đáng lẽ đã có nhiều yếu tố có thể ngăn chặn việc này.
    • Nếu tệp header không khai báo chức năng thực sự, thì mục đích của nó là gì, cũng được đặt thành câu hỏi.

  • Nhu cầu xác minh bảo mật cho binary blob

    • Có ý kiến chỉ ra sự thiếu vắng một bài kiểm tra duy nhất để xác nhận rằng các binary blob được biên dịch từ mã nguồn mở vẫn giữ được tính bảo mật.
    • Nên ưu tiên độ ổn định hơn việc bổ sung tính năng.

  • Tầm quan trọng của merge request (MR) và kiểm thử

    • Có kỳ vọng rằng merge request nên đi kèm các bài kiểm tra cho thấy nó thực hiện đúng chức năng như tuyên bố.
    • Cũng có câu hỏi về cách kiểm tra xem Landlock có đang được kích hoạt hay không.

  • Suy đoán về chiến lược backdoor

    • Có suy đoán rằng liệu đã có ý định thêm nhiều backdoor hơn hay không, và liệu các backdoor đó có thể trông hợp lý hơn không.

  • Đề xuất tùy chọn build cho tính năng tùy chọn

    • Đề xuất ba tùy chọn build: buộc bật, bật nếu có thể, và buộc tắt.

  • Sự bối rối về phần diff của mã

    • Có câu hỏi liệu trong đoạn mã dùng cmake để phát hiện tính năng đã được kích hoạt hay chưa có tồn tại lỗi cú pháp cố ý hay không.