ClickCease Sortie du noyau Linux 6.7 avec diverses améliorations en matière de sécurité

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Sortie du noyau Linux 6.7 avec diverses améliorations en matière de sécurité

Rohan Timalsina

Le 25 janvier 2024 - L'équipe d'experts de TuxCare

Linus Torvalds announced the release of Linux kernel 6.7 on January 7, 2024, featuring various improvements and new features. One major addition is the bcachefs file system, designed to compete with Btrfs and ZFS for modern features while maintaining the speed of EXT4 and XFS. This article aims to explore the security features and updates introduced in this new kernel series.

 

Fonctionnalités de sécurité dans le noyau Linux 6.7

 

Mises à jour du sous-système Crypto

 

Les mises à jour du sous-système cryptographique du noyau Linux 6.7 impliquent des changements de routine et diverses mises à jour de l'accélération cryptographique pour différents systèmes sur puce (SoC). La mise à jour réduit notamment le rôle des algorithmes de hachage cryptographique peu sûrs et obsolètes. La prise en charge de SHA1 pour la signature des modules du noyau ou l'importation de certificats X.509 a été supprimée, les algorithmes SHA256 ou supérieurs étant recommandés à cet effet. En outre, le hachage et les signatures MD4 et MD5 dans les certificats X.509 ont été supprimés pour des raisons de sécurité.

 

Créer le fichier hardening.config

 

Linux 6.7 introduit un nouveau profil de configuration de durcissement pour aider à construire un noyau renforcé en termes de sécurité avec quelques valeurs par défaut saines. La mise à jour inclut un fragment de Kconfig avec des options de renforcement de base qui peuvent être activées en exécutant "make hardening.config". Parmi les options de renforcement, on trouve l'application des permissions de base de la mémoire du noyau, la randomisation de la disposition de l'espace d'adressage, la randomisation du décalage de la pile à l'entrée du syscall, la vérification des limites de la longueur de la mémoire tampon, ainsi que divers paramètres de sécurité.

 

Contrôles d'accès Landlock

 

Dans Linux 6.7, Landlock, une fonctionnalité de sandboxing d'applications non privilégiées fusionnée dans Linux 5.13, a étendu ses capacités au-delà des contrôles d'accès aux systèmes de fichiers pour inclure une prise en charge initiale des réseaux. Implémenté en tant que module de sécurité Linux empilable (LSM), Landlock introduit désormais des droits d'accès tels que LANDLOCK_ACCESS_NET_BIND_TCP et LANDLOCK_ACCESS_NET_CONNECT_TCP. Cette mise à jour permet de restreindre les appels système TCP socket bind() et connect() pour des ports spécifiques.

 

Génération de l'en-tête PE

 

Les changements x86/boot pour le noyau Linux 6.7 comprennent un remaniement important de la génération de l'en-tête PE dirigé par Ard Biesheuvel. L'objectif est de créer une vue moderne de l'image du noyau, alignée sur 4K, afin d'améliorer la sécurité du système. Cette restructuration est rendue possible par le fait que le flux de démarrage EFI ne dépend plus simultanément de la mémoire exécutable et de la mémoire inscriptible. La nouvelle disposition expose le code et les données en lecture seule du binaire de décompression en tant que section .text et data/bss en tant que section .data, avec un alignement 4K et des permissions limitées. Ceci est essentiel pour la compatibilité avec les mesures de sécurité sur les PC x86 construits pour Windows.

 

Autres nouveautés du noyau Linux 6.7

 

Cette version introduit également la prise en charge du micrologiciel GSP de NVIDIA dans le pilote graphique libre Nouveau. Les mises à jour notables comprennent des améliorations du système de fichiers Btrfs, des améliorations du réseau et des mises à jour des systèmes de fichiers tels que EXT4, F2FS et exFAT. Le noyau prend en charge de nouveaux matériels, architectures et plateformes AMD, ainsi que des mises à jour de sécurité, telles que des améliorations d'AppArmor.

 

Le noyau Linux 4.14 est arrivé en fin de vie

 

The long-term supported (LTS) Linux 4.14 kernel series, initially released on November 12, 2017, has officially reached its end of life after being maintained for over six years. Users still on this kernel version are advised to upgrade to newer long-term supported kernels like Linux 5.4 (supported until December 2025), Linux 5.10, Linux 5.15, Linux 6.1, or Linux 6.6 (all supported until December 2026).

 

Conclusion

 

Le noyau Linux 6.7 est disponible au téléchargement, et le noyau Linux 6.8 devrait suivre à la mi-mars 2024. Avec une courte période de support de quelques mois, il sera bientôt remplacé par le noyau Linux 6.8.

Le noyau est le composant central du système d'exploitation Linux, il est donc crucial de le sécuriser pour assurer la sécurité globale du système. TuxCare propose KernelCare Enterprise qui applique automatiquement toutes les mises à jour de sécurité et les correctifs au noyau Linux sans avoir à redémarrer ou à programmer des fenêtres de maintenance.

En savoir plus sur le live patching et découvrir comment fonctionne le live patching de KernelCare.

 

Les sources de cet article sont disponibles sur Phoronix.

Résumé
Sortie du noyau Linux 6.7 avec diverses améliorations en matière de sécurité
Nom de l'article
Sortie du noyau Linux 6.7 avec diverses améliorations en matière de sécurité
Description
Découvrez les dernières améliorations apportées au noyau Linux 6.7, notamment les fonctions de sécurité améliorées et les mises à jour. Apprenez à sécuriser le noyau Linux.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information