Rocky Linux ввёл в строй репозиторий с пакетами для усиления безопасности
Разработчики дистрибутива Rocky Linux, нацеленного на создание свободной сборки RHEL, способной занять место классического CentOS, объявили о создании новой SIG-группы (Special Interest Group) Security, которая будет заниматься сопровождением пакетов, связанных с предоставлением расширенной защиты и поставкой дополнительных инструментов для обеспечения безопасности. Группа также будет публиковать альтернативные варианты существующих пакетов, собранных с включением различных механизмов для повышения безопасности или устраняющих уязвимости, которые остаются неисправленными в RHEL и CentOS Stream.
Развиваемые наработки будут публиковаться в отдельном репозитории, который также можно будет использовать в других дистрибутивах, совместимых с red Hat Enterprise Linux. Для подключения репозитория в Rocky Linux уже можно использовать команду «dnf install rocky-release-security». В настоящее время в репозитории предложены следующие пакеты:
- Модуль ядра LKRG (Linux Kernel Runtime Guard), предназначенным для выявления и блокирования атак и нарушений целостности структур ядра (например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов). Пакет собран для веток RHEL8 и RHEL9.
- Инструментарий passwdqc для контроля сложности паролей и парольных фраз, включающий модуль pam_passwdqc, программы pwqcheck, pwqfilter и pwqgen, а также библиотеку libpasswdqc. Пакет собран для ветки RHEL9.
Пакет с Glibc, включающий изменения для усиления безопасности, разработанные проектом Owl и применяемые в ALT Linux. Пакет также включает исправления для блокирования двух уязвимостей: уязвимости в ld.so (CVE-2023–4911), позволяющей локальному пользователю поднять свои привилегии в системе через указание специально оформленных данных в переменной окружения GLIBC_TUNABLES, и уязвимости (CVE-2023–4527) в функции getaddrinfo, которая может привести к утечке данных из стека или аварийному завершению. Пакет собран для ветки RHEL9.
- Пакет с OpenSSH, в котором sshd связан с меньшим числом разделяемых библиотек. Пакет собран для ветки RHEL9.
- Сопутствующие пакеты: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.
Источник: http://www.opennet.ru/opennews/art.shtml? num=59876
© OpenNet