ClickCease 여러분을 흥분시킬 새로운 Linux 커널 기능 및 예정 사항

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

여러분을 흥분시킬 새로운 Linux 커널 기능 및 예정 사항

조아오 코레이아

2023년 7월 4일 - 기술 에반젤리스트

다음은 최근(그리고 아직 테스트 중인) Linux 커널 버전에서 첫 선을 보이는 보안 관련 기능 중 일부입니다. 이러한 기능은 특별한 보안 튜닝 없이도 기본 Linux 시스템의 고유한 보안을 강화하기 위한 것으로, 기존 작업 및 프로세스를 수행하는 새로운 방법을 구현하는 데 사용될 것입니다.

 

시스템 보안에 미치는 영향에 초점을 맞춰 가장 주목할 만한 몇 가지를 살펴보겠습니다.

 

제어 흐름 적용 기술(CET) 섀도 스택

 

Linux 커널의 곧 출시될 기능 중 하나는 제어 흐름 적용 기술(CET)입니다. 섀도 스택. 이는 실제 호출 스택의 유효성을 검사하는 보조 스택으로, 잠재적인 악의적인 변경을 포착하는 데 도움이 됩니다.

 

섀도 스택은 하드웨어를 사용하여 기능을 제공하고 보안을 보장하며, CPU가 직접 섀도 스택을 유지 관리하며 사용자 코드에서 수정할 수 없습니다. 최근 인텔은 최신 CPU 제품군에 대한 섀도 스택 지원을 확장하기 위해 일련의 패치를 제출했습니다. 이 패치는 x64 아키텍처에서 AMD와 같은 다른 공급업체의 하드웨어를 지원할 수 있을 만큼 일반적입니다.

 

섀도 스택의 주요 이점은 다음을 기반으로 하는 공격을 탐지할 수 있다는 것입니다. 반환 지향 프로그래밍 (ROP)에 의존하는 공격을 탐지할 수 있다는 것입니다. 이는 특정 함수에서 호출자 함수로의 리턴을 악용하는 공격입니다. 따라서 이 기능은 10년 이상 지속되어 온 이러한 유형의 위협으로부터 시스템의 보안을 강화할 수 있습니다.

 

그러나 섀도 스택은 막판에 문제가 발생하여 메인라인 커널에 포함되는 것이 에 포함되는 것이 6.4 버전보다 지연될 가능성이 높습니다.. 이 문제가 해결되면 스택 또는 함수 포인터를 조작하는 소프트웨어는 섀도 스택을 지원하는 최신 커널 버전에서 실행되도록 조정해야 할 가능성이 높습니다.

 

IO_경화 중

 

IO_uring은 비동기 I/O 작업에 사용되는 고성능 Linux 인터페이스입니다. I/O 바인딩 작업에서 상당한 개선이 이루어졌음에도 불구하고, Google은 (그리고)에 "심각한 취약점"이 있음을 발견했습니다. 이에 따라 Google은 적절한 샌드박스 방법이 발견될 때까지 프로덕션 서버, Chrome OS 및 기타 제품에서 사용을 금지했습니다.

 

솔루션이 발견되면 커널에 광범위한 영향을 미쳐 시스템 전반의 I/O 작업 보안을 강화할 가능성이 높습니다. 성능 이점으로 인해 IO_uring이 광범위하게 채택된 점을 고려할 때, 모든 보안 변경 사항은 여러 워크로드와 환경에 걸쳐 영향을 미치며 코드 리팩터링이 필요할 수 있습니다. 

 

이 보안 변경 사항이 언제 적용될지는 아직 공개되지 않았습니다.

 

가상 신뢰 수준(VTL) 컨텍스트

 

Microsoft의 HyperV 가상화 플랫폼(예: 일부 클라우드 제공업체에 있음)에 배포된 Linux 시스템에는 이제 '가상 보안 모드'의 "가상 신뢰 수준". 이를 통해 가상 머신마다 서로 다른 신뢰 수준을 설정할 수 있습니다. 커널에 새로 도입된 HYPER_VTL_MODE 설정을 사용하면 시스템에 대해 원하는 신뢰 수준을 지정할 수 있습니다. 예를 들어 인터넷에 연결된 시스템에 대해 더 낮은 신뢰 수준을 요청하면 하이퍼바이저가 이러한 Linux 게스트 시스템에 노출되는 기능을 강화하는 데 유용할 수 있습니다.

 

이 기능은 커널 버전 6.4부터 통합되어 사용할 수 있습니다.

 

Linux 커널 6.3의 추가 보안 기능

 

Linux 커널 6.3에는 몇 가지 새로운 보안 관련 기능이 도입되었습니다. 예를 들어, 이제 커널은 스펙터 완화를 위한 AMD의 자동 간접 분기 제한 추측(IBRS) 기능을 지원합니다. 이 기능은 레트폴린 추측 실행에 대한 성능 집약적이지 않은 대안을 제공하여 구형 AMD 프로세서의 보안과 속도를 향상시킵니다.

 

Linux 6.3 커널에는 ARM 및 RISC-V 아키텍처를 위한 새로운 전원 관리 드라이버도 포함되어 있어 보안과 성능이 향상됩니다. 파일 시스템의 경우, Linux 6.3은 NFS에 대해 AES-SHA2 기반 암호화를 지원하여 파일 작업을 더욱 안전하게 만듭니다.

 

또한 커널은 이제 메모리 안전 언어인 Rust 코드에 대한 사용자 모드 Linux 지원과 함께 제공됩니다. 이는 최초의 Rust 모듈을 Linux 커널로 업스트림하는 목표를 향한 단계로, 메모리 안전성이라는 Rust의 특성으로 인해 보안을 강화할 수 있습니다.

 

최종 생각

 

이는 커널의 유명한 유연성과 성능을 유지하면서 시스템 보안을 개선하기 위한 Linux 커뮤니티의 노력을 강조하는 최근 도입된 변경 사항 중 일부에 불과합니다. 이러한 변경 사항은 사용자와 개발자에게 큰 영향을 미쳐 전 세계 Linux 시스템의 보안 환경을 개선할 수 있습니다.

요약
여러분을 흥분시킬 새로운 Linux 커널 기능 및 예정 사항
기사 이름
여러분을 흥분시킬 새로운 Linux 커널 기능 및 예정 사항
설명
Linux 커널 기능. 시스템 보안에 미치는 영향을 중심으로 가장 주목할 만한 몇 가지 기능을 자세히 살펴보겠습니다.
작성자
게시자 이름
TuxCare
게시자 로고

KernelCare의 혜택을 직접 경험해보세요.

30일 무료 체험판 신청하기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기