Tutte le migliorie alla sicurezza presenti in RedHat Enterprise Linux 9

0

Red Hat ben sappiamo essere uno dei pilastri fondamentali per Linux nelle aziende ed, ad oggi, sui suoi prodotti girano applicazioni fondamentali per tantissime aziende.

Al Red Hat Summit di Boston di quest’anno l’azienda americana ha annunciato, oltre un aggiornamento generale sulle sue offerte (dal cloud ibrido a quello pubblico, passando direttamente per il bare-metal), anche l’uscita di Red Hat Enterprise Linux 9, la nuova major release del sistema operativo su cui si basa la quasi totalità dei suoi prodotti.

L’accento per questa release è stato messo sulla sicurezza, come richiesto a gran voce da parecchi clienti. Oltre ad un aggiornamento dei tool già presenti per l’hardening, il testing e la scansione delle vulnerabilità, RHEL9 includerà anche funzionalità necessarie a gestire vulnerabilità a livello hardware (qualcuno è rimasto bruciato da Spectre e Meltdown?), ad esempio la possibilità per i processi in user-space di creare aree di memoria inaccessibili a codice malevolo, oppure una più semplice adattabilità a certificazioni di sicurezza richieste normalmente richieste dai clienti stessi (quali PCI-DSS, HIPAA e altre).

Tra le nuove funzionalità troviamo:

  • Autenticazione con Smart Card anche tramite la web console
  • Security profile addizionali (appunto per venire incontro alle certificazioni di cui parlavamo)
  • Log SSSD dettagliato: il sistema di SSO integrato in RHEL adesso comprenderà più dettagli, come il tempo impiegato al completamento dei task, il flusso di autenticazione ed altro
  • OpenSSL 3 integrato
  • Login di root tramite ssh via password disabilitata di default

Oltre a questo è stata introdotta anche l’Integrity Measurement Architecture, ovvero un metodo nativo basato su hash e firme per verificare l’integrità del sistema operativo, al fine di identificare immediatamente modifiche sia al sistema che all’infrastruttura per bloccare sul nascere diffusioni di software malevoli.

A questo si aggiunge l’adozione del Sigstore per Kubernetes, servizio che dovrebbe migliorare l’affidabilità in fase di distribuzione dei vari componenti container, siano essi immagini, ma anche più genericamente file e binari. Sigstore sarà nativamente integrata in OpenShift, ma anche direttamente in Podman ed altre tecnologie di container.

Ovviamente son state introdotte anche altre funzionalità, ma in generale la nuova release a livello di sicurezza sembra davvero interessante e piena di novità. Siete curiosi di provarla?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.