Kernel Corner : MODSIGN (KERNEL 3.7)

Magazine
Marque
GNU/Linux Magazine
Numéro
157
Mois de parution
février 2013
Domaines


Résumé

Le noyau intègre enfin, dans sa version 3.7, une fonctionnalité de sécurité, longtemps attendue par certains, dont une implémentation existait depuis bien des années dans RHEL et Fedora : MODSIGN ou le mécanisme de signature cryptographique des modules noyau. Après de multiples rebondissements, des discussions enflammées sur la LKML et ailleurs, une solution convenable pour la communauté a vu le jour. C'est ce que nous vous proposons de découvrir dans cet article.


1. Vue d'ensemble

Le noyau 3.7 voit l'inclusion du mécanisme de protection MODSIGN (implémenté par David Howells) qui empêche tout chargement de module noyau dont l'authenticité ne serait pas validée. La vérification de cette authenticité est réalisée au moyen d'un mécanisme fondé sur un système de signature cryptographique. Avant d'aborder les différentes facettes de ce mécanisme, introduisons brièvement le principe mis en œuvre. Pour être en mesure de signer des modules, le noyau requiert qu'une paire de clés RSA soit disponible dans l'arborescence du noyau, ou s'occupera d'en générer une, suivant des paramètres personnalisables. La clé privée doit être stockée au format PEM, et la clé publique embarquée dans un certificat X.509 (codé en DER). Ce dernier est alors inclus dans les sources du noyau lors de sa construction et sera utile pour la vérification de l'authenticité des modules. La clé privée sert, quant à elle, à signer les modules....

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Gérez vos gros volumes de données avec Elasticsearch

Magazine
Marque
Linux Pratique
Numéro
125
Mois de parution
mai 2021
Domaines
Résumé

Elasticsearch est un SGBD NoSQL qui gagne en popularité ces dernières années de par sa flexibilité et sa gestion facile. Il intègre la notion de cluster qui permet de décentraliser une base de données afin de rendre les requêtes à celle-ci plus rapides, tout en assurant une sécurité plus qu’acceptable. Dans cet article, nous allons gérer une base de données Elasticsearch en nous focalisant principalement sur la manipulation des données. Nous supposerons que vous disposez déjà d’un cluster installé disposant bien évidemment d’un nœud master, comme vu précédemment [1].

Retour sur une stratégie de migration à grande échelle : l’exemple de la Gendarmerie Nationale

Magazine
Marque
Linux Pratique
Numéro
125
Mois de parution
mai 2021
Domaines
Résumé

Le lieutenant-colonel Stéphane Dumond, chef de bureau IT au sein du Service des Technologies et des Systèmes d’Information de la Sécurité Intérieure a accepté de revenir avec nous sur les enjeux de la migration à grande échelle réalisée par la Gendarmerie Nationale. Vous découvrirez dans ces lignes son retour d’expérience sur le sujet, de la stratégie suivie, aux objectifs visés en passant par les difficultés rencontrées et les bénéfices constatés à court et long terme.

Résumé des attaques publiées sur les TPM

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Domaines
Résumé

Les TPM, bien que protégés face aux attaques physiques, et certifiés à un bon niveau de sécurité par les Critères Communs (EAL4+ au minimum), ont subi depuis une vingtaine d’années quelques attaques, montrant qu’ils ne sont pas la contre-mesure inviolable pour garantir l’intégrité logicielle des plateformes numériques. Cet article se propose de résumer les principales vulnérabilités remontées au fil du temps sur les TPM du marché.

Tirez parti de votre environnement de travail en ligne de commandes

Magazine
Marque
Linux Pratique
Numéro
125
Mois de parution
mai 2021
Domaines
Résumé

Je vous propose de découvrir le monde merveilleux de la ligne de commandes. Pas un tutoriel pour l’utiliser, mais un ensemble d’outils pour tirer profit au maximum de cet environnement. Que vous soyez débutant ou utilisateur expérimenté, je souhaite dans cet article vous montrer comment personnaliser son apparence, vous passer de certains outils graphiques, vous faire découvrir de nouveaux utilitaires, de nouveaux usages et des alternatives à des commandes historiques connues.

À la découverte des namespaces mount et uts

Magazine
Marque
GNU/Linux Magazine
Numéro
247
Mois de parution
avril 2021
Domaines
Résumé

Le namespace mount, premier d'une longue série de namespaces a été ajouté à Linux quelques années après chroot() pour offrir plus de possibilités et de sécurité dans l'isolation des systèmes de fichiers. Introduit peu après et indéniablement plus simple, le namespace uts permet d'instancier les noms de machine. Les conteneurs sont bien entendu les premiers clients de ces fonctionnalités.