De todas as principais preocupações com segurança, nós suamos muito com ataques de armazenamento e rede. Nos últimos anos, ataques de memória também se tornaram mais problemáticos. Para resolver esse problema de segurança, a Edera lançou o OpenPaX, um novo patch de kernel Linux de código aberto. Este patch atenua erros comuns de segurança de memória e melhora o reforço do sistema.
Se o nome lhe soa familiar, é provável que você seja um administrador Linux. GrSecurity da Open Source Security, um conjunto de programas de segurança do Kernel Linux, inclui um componente chamado PaX. Este programa do kernel sinaliza a memória de dados como não executável e a memória do programa como não gravável. Isso ajuda a evitar ataques de sobrescrita de memória e fornece randomização de layout de espaço de endereço (ASLR).
Por que OpenPaX?
Porque em abril de 2017, a Open Source Security anunciou que não lançaria mais patches públicos do GrSecurity. Hoje, você ainda pode obter versões atualizadas do GrSecurity e do PaX, mas precisa ter uma assinatura.
Sim, isso é legal sob a licença que rege o Linux, a GNU General Public License, versão 2 (GPLv2), cláusula 3.a. Até onde sei, a Open Source Security é a única grande empresa que já adotou essa abordagem específica para monetizar um componente do kernel Linux.
RBAC e outros recursos
Alguns argumentaram que a abordagem da Open Source Security é um pouco como a aposentadoria do CentOS pela Red Hat. Mas essa é uma distribuição Linux empresarial, não um único módulo de kernel.
Devo acrescentar que o GrSecurity é mais do que o PaX. Ele também inclui outros recursos de segurança, como controle de acesso baseado em função (RBAC), restrições de Chroot, recursos de auditoria aprimorados e execução de caminho confiável. O OpenPaX é apenas um substituto potencial para o PaX.
"Até agora, o acesso a mitigações de segurança de memória de senso comum… exigia que desenvolvedores e empresas licenciassem um patch de kernel caro que eles não poderiam redistribuir sem perder o acesso a versões atualizadas do patch, sem dúvida violando o GP", disse Ariadne Conill, engenheira renomada e cofundadora da Edera e mantenedora do Alpine Linux, em uma declaração. "O OpenPaX muda tudo isso para melhor."
Em uma mensagem de e-mail para The New Stack, Conill acrescentou que o patch OpenPaX foi enviado para o upstream da árvore Linux de Linus Torvald. Então, com o tempo, o OpenPax pode se tornar parte do kernel Linux principal.
Aplicando o OpenPaX
Você pode aplicar o OpenPaX ao seu kernel Linux hoje mesmo. Ele oferece proteções de segurança de memória de tempo de execução aprimoradas e melhor proteção contra ataques de segurança de memória em nível de aplicativo. Se você quiser já integrado, o Alpine Linux anunciou que incluirá um kernel habilitado para PaX como uma prévia técnica em seu próximo lançamento 3.21, com integração adicional planejada para a versão 3.22.
O OpenPaX é uma solução importante para melhorar a segurança do seu sistema Linux. Com a crescente ameaça de ataques de memória, é essencial que os administradores de sistemas adotem medidas proativas para proteger seus ambientes. O OpenPaX fornece uma maneira eficaz e de código aberto de fazer isso, complementando outras ferramentas de segurança do kernel Linux.
Então, se você está preocupado com a segurança do seu sistema Linux, dê uma olhada no OpenPaX. Ele pode ser a chave para manter seus dados e aplicativos seguros contra os últimos ataques de memória.
