2024-09-17 Linux Security Summit Europe 2024 - Day 2-2 - Hall L3 - Live from Vienna Austria
Вторник, 17 сентября 2024 г., 11:10 - 11:55 CEST, Thara Gopinath Безопасность на основе виртуализации Linux (LVBS) - это функция безопасности, которая может а) повысить надежность ядра и б) гарантировать, что критически важные ресурсы ядра останутся нетронутыми, даже если ядро будет скомпрометировано. VBS использует аппаратную виртуализацию и гипервизор (Hyper-V) для создания изолированной виртуальной среды, которая работает с более высоким уровнем доверия, называемым уровнем виртуального доверия 1 (VTL1). В предыдущих статьях о LVBS мы рассмотрели основы обеспечения защищенного ядра, работающего в VTL1, и то, как мы поддерживаем базовую целостность ядра с помощью LVBS. В этом докладе мы рассмотрим, как можно расширить LVBS, чтобы обеспечить расширенные возможности обеспечения целостности ядра. Мы рассмотрим текущее положение дел в ядре Linux и различные функции ядра, которые манипулируют таблицами страниц для внедрения/модификации кода ядра. Затем мы обсудим, как эти функции могут быть усилены с помощью LVBS, чтобы гарантировать подлинность и целостность измененного/загруженного кода, даже если ядро будет скомпрометировано. Мы также представим информацию о ходе нашей работы по усилению некоторых из этих функций. Наконец, в рамках будущей работы мы также изучим усиление защиты ключевых структур данных ядра, которые являются объектами атак, и представим наши цели по их защите от несанкционированного изменения. Презентация https://static.sched.com/hosted_files/lsseu2024/70/LSSEU24-LVBS.pdf?_gl=1*ohxn7d*_gcl_au*MTkwMTIyMDAzMC4xNzI2NTUzMDc3*FPAU*MTkwMTIyMDAzMC4xNzI2NTUzMDc3
Вторник, 17 сентября 2024 г., 11:10 - 11:55 CEST, Thara Gopinath Безопасность на основе виртуализации Linux (LVBS) - это функция безопасности, которая может а) повысить надежность ядра и б) гарантировать, что критически важные ресурсы ядра останутся нетронутыми, даже если ядро будет скомпрометировано. VBS использует аппаратную виртуализацию и гипервизор (Hyper-V) для создания изолированной виртуальной среды, которая работает с более высоким уровнем доверия, называемым уровнем виртуального доверия 1 (VTL1). В предыдущих статьях о LVBS мы рассмотрели основы обеспечения защищенного ядра, работающего в VTL1, и то, как мы поддерживаем базовую целостность ядра с помощью LVBS. В этом докладе мы рассмотрим, как можно расширить LVBS, чтобы обеспечить расширенные возможности обеспечения целостности ядра. Мы рассмотрим текущее положение дел в ядре Linux и различные функции ядра, которые манипулируют таблицами страниц для внедрения/модификации кода ядра. Затем мы обсудим, как эти функции могут быть усилены с помощью LVBS, чтобы гарантировать подлинность и целостность измененного/загруженного кода, даже если ядро будет скомпрометировано. Мы также представим информацию о ходе нашей работы по усилению некоторых из этих функций. Наконец, в рамках будущей работы мы также изучим усиление защиты ключевых структур данных ядра, которые являются объектами атак, и представим наши цели по их защите от несанкционированного изменения. Презентация https://static.sched.com/hosted_files/lsseu2024/70/LSSEU24-LVBS.pdf?_gl=1*ohxn7d*_gcl_au*MTkwMTIyMDAzMC4xNzI2NTUzMDc3*FPAU*MTkwMTIyMDAzMC4xNzI2NTUzMDc3