Rocky Linux הוציאה מאגר עם חבילות כלי אבטחה והגנה 

Darkcrizt

4 דקות

לינוקס סלעית

Rocky Linux היא הפצה שמטרתה ליצור קומפילציה חינמית של RHEL שיכולה לתפוס את המקום של CentOS הקלאסי

לאחרונה ה מפתחי הפצת "רוקי לינוקס", הכריזו באמצעות פוסט בבלוג, הם הכריזו על יצירת קבוצת GIS חדשה (קבוצת עניין מיוחד) אבטחה, במטרה לתחזק חבילות הקשורות למתן הגנה מתקדמת ומתן כלי אבטחה נוספים.

למי שלא מכיר את Rocky Linux, כדאי לדעת שזו "הפצת לינוקס חדשה" (יחסית) שפותחה על ידי Rocky Enterprise Software Foundation ושמטרתה ליצור גרסה חינמית של RHEL המסוגלת להחליף את CentOS הקלאסי, כדי להיות הפצה "בהמשך", ששוחררה לחלוטין לתמיכה בקוד בינארי באמצעות קוד המקור של מערכת ההפעלה Red Hat Enterprise Linux.

מאגר GIS חדש ב- Rocky Linux

לגבי המאגר החדש שנוצר ב- Rocky Linux, מוזכר כי הכוונה היא לכך גם ב"קבוצת האינטרסים המיוחדים לאבטחה". גרסאות חלופיות של החבילות יפורסמו קיימים שכבר קיימים תוכנן לכלול מנגנונים שונים לשיפור האבטחה או טיפול בפרצות שעדיין לא תוקנו ב-RHEL וב-CentOS Stream.

ככזה, המאגר לא יהיה בלעדי להפצה, אך כל הפיתוחים יפורסמו במאגר עצמאי, שניתן להשתמש בו גם בהפצות אחרות התואמות ל-Red Hat Enterprise Linux.

בפוסט בבלוג, מפתחי רוקי לינוקס להזכיר כי המשימה של SIG האבטחה היא:

  • פתח ותחזק חבילות שונות הקשורות לאבטחה שאינן נמצאות ב-EL (Enterprise Linux) במעלה הזרם.
  • זיהוי, פיתוח ותחזוקה של שינויים בהקשחת אבטחה הקשורים לחבילות EL במעלה הזרם.
  • כלול/העבר תיקוני אבטחה נוספים שעוד לא בחבילות ELupstream.
  • תרום לשלבים הראשוניים המתאימים כאשר מעשיים.

בקטע ש תוכן מאגר, מוזכר שהחבילות הבאות מוצעות כעת במאגר, חבילת OpenSSH כולל sshd עם פחות ספריות משותף, לגבי חבילה זו, מוזכר שהיא מורכבת רק עבור ענף RHEL 9, כמו גם חבילות קשורות: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.

בנוסף לכך, הוא גם מציע מודול ליבת LKRG (Linux Kernel Runtime Guard) אשר נועד לזהות ולחסום הן התקפות והן הפרות של שלמות מבני הקרנל (לדוגמה, המודול יכול להגן מפני שינויים לא מורשים בקרנל הפועל וניסיונות לשנות את ההרשאות של תהליכי המשתמש, בערך חבילה זו, מורכבת עבור סניפי RHEL 8 ו-RHEL 9.

עוד אחת מהחבילות הכלולות במאגר היא «passwdqc» המשמש לניטור המורכבות של סיסמאות וביטויי סיסמה, כולל מודול pam_passwdqc, התוכניות pwqcheck, pwqfilter ו-pwqgen, וספריית libpasswdqc. החבילה בנויה לסניפי RHEL 8 ו-RHEL 9.

גם במאגר יש, Glibc כולל שיפורי אבטחה שפותחו על ידי פרויקט Owl והוחלו על ALT Linux. החבילה כוללת גם תיקונים לחסימת שתי פגיעויות: פגיעות ב-ld.so (CVE-2023-4911), המאפשרת למשתמש מקומי להעלות את ההרשאות שלו במערכת על ידי ציון נתונים בפורמט מיוחד במשתנה הסביבה GLIBC_TUNABLES, ופגיעות (CVE-2023-4527) בפונקציית getaddriinfo, מה שעלול להוביל לדליפה או התרסקות של מחסנית. החבילה בנויה עבור סניף RHEL 9.

תורם SIG אבטחה Solar Designer הזכיר את הדברים הבאים ב-X (לשעבר טוויטר):

לאחרונה הצטרפתי לפרויקט Rocky Linux והשקנו את מאגר האבטחה, שמציע כרגע כמה חבילות נוספות ועקיפות (עוד בקרוב), כולל glibc עם אבטחה מוקשחת להפצות EL9 (בקרוב EL8) עם הפחתה יעילה נגד CVE-2023 -4911

באשר למי שמעוניין להיות מסוגל להוסיף את המאגר ב- Rocky Linux או בהפצה תואמת RHEL שלו, הם יכולים לעשות זאת על ידי פתיחת מסוף והקלדת הפקודה בו

dnf install rocky-release-security

סוף סוף אם אתה מעוניין לדעת יותר על זה, אתה יכול לבדוק את הפרטים בקישור הבא.