Linux IMA: Fedora 34 firmerà tutti i suoi RPM

2

Un’altra novità è stata proposta per Fedora 34 ovvero la firma dei pacchetti tramite una feature del Kernel Linux: la Integrity Measurement Architecture (IMA).

Linux IMA è un subsystem che si occupa di calcolare gli hash di file e programmi al momento dell’apertura ma prima che i contenuti vengano letti o eseguiti.

Linux IMA include a sua volta altri due subsystem:

  • measurement: si occupa di recuperare gli hash dei file;
  • appraisal: confronta gli hash recuperati con quelli presenti sul sistema e, in caso di mismatch, nega l’apertura e/o l’esecuzione del file.

Inoltre, Linux IMA è in grado di interagire anche con il modulo TPM (Trusted Platform Module).

Tutti i pacchetti ufficiali verrebbero firmati da una chiave del team Fedora che si occupa delle infrastrutture e chi gestisce i sistemi avrebbe la possibilità di consentire via Kernel all’installazione ed esecuzione solo ed esclusivamente di pacchetti firmati.

La Fedora Engineering and Steering Commitee non ha ancora revisionato la proposta anche perché è considerata come una modifica system-wide arrivata un po’ in ritardo sulla tabella di marcia.

Nel caso dovesse essere approvata, molto probabilmente verrebbe comunque implementata nella versione 35.

Linux IMA non è abilitato di default dunque, nel caso foste interessati in un futuro ad utilizzalo, va abilitato a livello di Kernel.

Questo tipo di opzione sicuramente va incontro alle esigenze di diverse realtà enterprise… ma se Fedora è sempre stata l’upstream di RHEL, ora che hanno “promosso” CentOS ad essere praticamente suo pari, che si fa?

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.