Xz: Bisakah Anda menemukan satu karakter yang melumpuhkan Linux Landlock?

 (git.tukaani.org)
1 poin oleh GN⁺ 2024-03-31 | 1 komentar | Bagikan ke WhatsApp

Perbaikan pengujian fitur Linux Landlock

  • Memperbaiki pengujian fitur Linux Landlock dalam konfigurasi build XZ Utils pada sistem build Autotools dan CMake.
  • Pada beberapa sistem, file header linux/landlock.h memang ada, tetapi system call yang diperlukan untuk benar-benar menggunakan Landlock tidak didefinisikan.
  • Untuk mengatasinya, ditambahkan pemeriksaan kompilasi untuk memastikan apakah fitur Landlock benar-benar dapat digunakan.

Pendapat GN⁺

  • Landlock adalah salah satu fitur keamanan kernel Linux yang berperan memperkuat keamanan dengan membatasi akses proses ke sumber daya. Pengujian yang akurat terhadap fitur seperti ini penting untuk menjaga keamanan sistem.
  • Masalah yang disebutkan dalam artikel ini dapat dilihat sebagai salah satu contoh masalah kompatibilitas yang muncul karena beragamnya lingkungan sistem Linux. Ini adalah persoalan yang sering ditemui dalam pengembangan perangkat lunak open source, dan para pengembang perlu terus berupaya untuk mengatasinya.
  • Artikel ini mengingatkan para pengembang perangkat lunak akan pentingnya menguji apakah suatu fitur sistem tertentu benar-benar tersedia untuk digunakan. Terutama saat menangani fitur yang berkaitan dengan keamanan, pengujian seperti ini menjadi semakin penting.
  • Proyek lain yang menyediakan fungsi serupa antara lain AppArmor dan SELinux pada kernel Linux, yang juga digunakan untuk memperkuat keamanan sistem.
  • Saat mengadopsi teknologi, kompatibilitas sistem harus ditinjau secara menyeluruh, dan perlu dicari keseimbangan antara peningkatan keamanan yang diperoleh dengan mengaktifkan fitur keamanan seperti Landlock dan potensi masalah kompatibilitas.

Bacaan terkait

1 komentar

 
GN⁺ 2024-03-31
Opini Hacker News

  • Kekhawatiran tentang commit terbaru

    • Seorang pengguna menunjukkan bahwa commit terbaru memperburuk pelaporan keamanan.
    • Pengguna lain memberikan tautan ke commit terkait dan mengajukan solusi.

  • Penjelasan tentang sistem kontrol akses Landlock di Linux

    • Bagi orang yang belum begitu mengenal Landlock, disediakan tautan dokumentasi tentang sistem tersebut.

  • Halaman respons resmi insiden xz

    • Disediakan tautan ke halaman respons resmi terkait backdoor xz.

  • Kebingungan akibat debu monitor

    • Seorang pengguna, saat memindai dengan cermat, menemukan sebuah titik di tempat yang seharusnya tidak ada titik.
    • Setelah menyentuh layar dan melihat titik itu bergerak, ia sadar bahwa itu adalah debu monitor.

  • Dataset pelatihan AI untuk mengidentifikasi masalah keamanan

    • Muncul pendapat bahwa tim malware telah membangun dataset yang berguna untuk melatih AI dalam mengidentifikasi masalah keamanan.
    • Disebutkan bahwa semua commit memiliki masalah keamanan, dan komunitas open source akan mengidentifikasinya.

  • Pertanyaan tentang alasan menonaktifkan Landlock di xz

    • Seorang pengguna mempertanyakan apakah tujuannya adalah menyuntikkan sesuatu yang berbahaya ke dalam arsip xz, atau menyuntikkan aktivitas berbahaya ke xz itu sendiri.

  • Kekhawatiran tentang keterhubungan longgar dalam keamanan sistem

    • Muncul pendapat bahwa keamanan sistem bergantung pada beberapa rantai ketepatan, dan seharusnya ada beberapa elemen yang bisa mencegah hal ini.
    • Dipertanyakan apa tujuan file header jika tidak mendeklarasikan fungsi yang sebenarnya.

  • Kebutuhan akan verifikasi keamanan binary blob

    • Ditunjukkan bahwa tidak ada satu pengujian pun untuk memastikan binary blob yang dikompilasi dalam open source tetap aman.
    • Muncul pendapat bahwa stabilitas harus diprioritaskan dibanding penambahan fitur.

  • Pentingnya merge request (MR) dan pengujian

    • Disampaikan harapan bahwa merge request harus disertai pengujian yang menunjukkan bahwa fungsi yang diklaim benar-benar berjalan.
    • Dipertanyakan bagaimana pengujian dapat memeriksa apakah Landlock diaktifkan.

  • Spekulasi tentang strategi backdoor

    • Muncul spekulasi apakah ada niat untuk menambahkan lebih banyak backdoor, dan apakah backdoor tersebut bisa tampak lebih masuk akal.

  • Usulan opsi build untuk fitur opsional

    • Diusulkan tiga opsi build: dipaksa aktif, aktif jika memungkinkan, dan dipaksa nonaktif.

  • Kebingungan tentang perbedaan kode (diff)

    • Dipertanyakan apakah ada kesalahan sintaks yang disengaja dalam kode yang mendeteksi apakah fitur diaktifkan dengan menggunakan cmake.