Ubuntu 22.04 LTS , выпущенная еще в апреле, является самой безопасной версией Ubuntu.
Благодаря расширенным обновлениям безопасности, поддержке нового оборудования и множеству других улучшений он намного превосходит все предыдущие выпуски с точки зрения безопасности.
Чем этот релиз отличается от предыдущих? Что ж, для этого есть несколько причин, и Canonical выделила все соответствующие детали в новом сообщении в блоге.
Здесь, позвольте мне обобщить это, чтобы помочь вам узнать больше.
Что делает Ubuntu 22.04 LTS безопасным?
В этом выпуске кажется, что команда Ubuntu приложила много усилий для обеспечения его долгосрочной безопасности и надежности. Хотя они делали это немыслимым количеством способов на протяжении многих лет, я выделю несколько вещей, в том числе:
- Улучшенная поддержка аппаратных мер безопасности
- Обновленные пакеты безопасности
- OpenSSL 3
- nftables как серверная часть брандмауэра по умолчанию
- Улучшения ядра Linux
1. Улучшенная поддержка аппаратных мер безопасности
По мере того, как Intel, AMD и ARM CPU/SoC начинают предлагать все больше мер безопасности, становится все более важным наличие адекватного программного обеспечения, позволяющего использовать эти функции.
На данный момент Ubuntu 22.04 поддерживает три основные меры аппаратной безопасности.
Intel Software Guard eXtensions (SGX) обеспечивает безопасную и независимую область для выполнения конфиденциальных вычислений. Например, обработка паролей в идеале должна происходить здесь, так как это гарантирует, что никакие другие приложения не смогут получить доступ к этим данным.
AMD (SEV) – эта технология направлена на то, чтобы операционная система хоста не могла мешать работе виртуальных машин.
Хотя это не так актуально для пользователей настольных компьютеров, как другие технологии, учтите, что большая часть инфраструктуры центров обработки данных зависит от виртуальных машин для контейнеризации приложений. В целом, такие аппаратные меры безопасности должны усилить защиту как для настольных компьютеров, так и для серверов.
2. Улучшения безопасности ядра Linux
С каждым выпуском Ubuntu ядро Linux получает обновление со многими полезными функциями и поддержкой.
Но на этот раз Canonical представила оптимизированные версии ядра для разных платформ. Для OEM-сертифицированных настольных устройств включено ядро Linux 5.17. Для всех остальных пользователей настольных компьютеров и серверов будет активным Linux Kernel 5.15 LTS .
Не ограничиваясь этой концепцией, некоторые важные улучшения безопасности ядра, упомянутые в сообщении блога, включают:
- Поддержку основного планирования, которое позволяет процессам контролировать, какие потоки будут планироваться между одноуровневыми SMT-процессами и таким образом, может позволить им защитить конфиденциальную информацию от утечки другим ненадежным процессам в системе.
- Рандомизация стека ядра обеспечивает меру защиты, чтобы помешать злоумышленникам, желающим выполнить атаки с повреждением памяти внутри ядра.
- Подсистема BPF также претерпела ряд улучшений безопасности, включая ограничение ее использования по умолчанию только привилегированными процессами, а также включение первоначальной проверки подписанных программ BPF.
- Включение нового модуля безопасности Landlock Linux обеспечивает еще один механизм изолированной программной среды приложений, который можно использовать вместе с более традиционными методами через AppArmor или SELinux.
В совокупности все эти улучшения делают Ubuntu 22.04 LTS более безопасным вариантом для разработчиков, пользователей и системных администраторов.
3. Обновленные пакеты безопасности
Отступая от технических концепций безопасности, мы переходим к концепции, с которой должен быть знаком каждый пользователь Ubuntu: пакеты. С каждым новым выпуском Ubuntu большинство пакетов в репозиториях обновляются, обеспечивая улучшенную безопасность и новые функции.
Хотя это и не совсем что-то новое для Ubuntu 22.04, это включает в себя множество обновлений, связанных с безопасностью. Например: openSSL 3 и GCC 11.
4. OpenSSL 3
OpenSSL является основой всех безопасных коммуникаций.
OpenSSL 3 особенно интересен как серьезное обновление, учитывая, что многие устаревшие алгоритмы устарели и отключены по умолчанию, включая MD2 и DES.
В результате, если пользователь специально не захочет использовать менее безопасные алгоритмы, то по умолчанию он получит наилучшую безопасность.
5. nftables как серверная часть брандмауэра по умолчанию
На протяжении более 25 лет брандмауэры были ключевой частью изоляции вашего компьютера от Интернета. В течение этого времени в дистрибутивах Linux обычно использовались два разных решения брандмауэра: iptables и xtables.
Однако недавно на сцену вышло другое решение: nftables. Предлагая значительные улучшения производительности и гибкости, он позволяет сетевым администраторам лучше защитить ваше устройство.
Подведение итогов
Несомненно, в Ubuntu 22.04 LTS появилось много хороших решений. Операционная система Ubuntu стала не только удобнее для пользователя, но и получила значительный скачок в плане безопасности.
Конечно, это еще не все, но упомянутые выше улучшения — это хорошие достижения!