Microsoft为Linux 5.12贡献完整性子系统更新

文|御坂弟弟

近日，Microsoft 工程师为 Linux 5.12 贡献了完整性子系统更新 ，并已合并到主线分支中。

Linux 完整性度量体系结构（IMA）子系统通过内在核中引入挂钩，以支持在打开文件进行读取或执行之前创建和收集它们的哈希值，并支持对哈希值进行报告并验证它们是否符合预定义列表。该系统包括测量和评估两部分， 测量收集文件的哈希值，而评估将收集的哈希值与存储的哈希值进行比较，并在不匹配的情况下拒绝访问。

本次更新提供了对内核关键数据测量的 IMA 支持，分别是测量内存中的 SELinux 策略和测量内核版本。由于 IMA 是内核的一部分，因此在启动的早期使用 ima_measure_critical_data() 测量内核版本，有助于确保只加载已知是良好版本的内核，减少已知内核漏洞被利用的机会。另外，本次更新还包括 4 个 bug 修复，以解决内存泄漏和一个缺失的静态函数声明。

在 Azure 云上，至少有 50% 的实例运行 Linux。因此，即使仅出于商业意义，微软的工程师们也将持续为 Linux 内核贡献代码。