Blog home
Linux

Erkunden Sie die neuesten Sicherheitsfunktionen in Ubuntu 22.10

Tim Smith
February 23, 2023
Lesedauer: 6 Minuten

Wenn Sie ein Systemadministrator sind und erwägen, Ihre Desktop-Bereitstellungen zu aktualisieren oder Nicht-LTS-Builds auf Servern auszuführen, ist dieses Handbuch genau das Richtige für Sie. In diesem Artikel werden wir die neuesten Sicherheitsfunktionen in Ubuntu 22.10 (Kinetic Kudu) untersuchen, einschließlich Upgrades auf OpenSSH 9.0, Sudo 1.9.11, Systemd 251 und Kernel 5.19. Obwohl diese Version möglicherweise nicht viele neue Sicherheitsfunktionen enthält, enthält sie einige wichtige Verbesserungen, weshalb es sich lohnt, sie zu erkunden.

mondoo-security-features-ubuntu

(Die Sicherheitsfunktionen von Ubuntu 23.04 Server werden hier überprüft.)

(Die Sicherheitsfunktionen von Ubuntu 22.10 Server werden hier überprüft.)

OpenSSH 9.0

Eine der wichtigsten Änderungen in Ubuntu 22.10 ist die Aufnahme der neuen OpenSSH 9.0-Version. Dieses Update führt mehrere Sicherheitsverbesserungen ein, darunter:

  • Stärkere Standardmethode für den Schlüsselaustausch
  • Entfernung des alten SCP-Protokolls
  • Sicherere Ausführung von sshd

OpenSSH 9.0 verwendet die neue Streamlined NTRU Prime + x25519-Schlüsselaustauschmethode, wodurch es weniger anfällig für zukünftige Quantencomputerangriffe ist. Diese neue Methode zum Austausch von Schlüsseln beinhaltet einen Fallback auf den vielfach getesteten x25519-Standard, der in früheren OpenSSH-Versionen eingeführt wurde. Darüber hinaus entfernt das Update das unsichere SCP-Protokoll, das im Laufe der Jahre zu mehreren CVEs geführt hat. Der Befehl scp verwendet nun das neuere und sicherere SFTP-Protokoll unter der Haube, wobei die Abwärtskompatibilität gewahrt bleibt, solange sowohl auf dem Client als auch auf dem Server OpenSSH 8.7 oder spätere Versionen ausgeführt werden.

Sudo 1.9.11

Sudo 1.9.11, in Ubuntu 22.10 enthalten, bietet mehrere nützliche Sicherheitsverbesserungen, mit denen Benutzer besser kontrollieren können, wer Sudo verwenden kann und wie sich die Authentifizierung verhält. Hier sind einige der wichtigsten Änderungen:

  • Reguläre POSIX-Ausdrücke werden jetzt in der sudoers-Datei unterstützt, um unsichere *-Übereinstimmungen zu ersetzen, die es Benutzern ermöglichen könnten, Befehle auszuführen, die nicht von Administratoren beabsichtigt waren.
  • Benutzerdefinierte Sudo-Prompts können verwendet werden, wenn auch das Sudo-Kerberos-Modul verwendet wird.
  • Mit einer neuen APPARMOR_PROFILE sudoers-Konfigurationsoption kann die Ausführung von Befehlen unter AppArmor-Profilen erzwungen werden, die die Sicherheit weiter einschränken.

Systeme 251

Systemd, das Herzstück moderner Linux-Systeme, hat einen großen Einfluss auf die Gesamtsicherheit von Hosts. Die neue Version, systemd 251, enthält mehrere Änderungen, die Dienste sicherer machen. Hier sind einige der wichtigsten Änderungen:

  • Eingeschränkter Dateisystem- und Netzwerkzugriff: Neue Systemd-Unit-Konfigurationsoptionen ermöglichen es Benutzern, den Dateisystem- und Netzwerkzugriff von Diensten einzuschränken. Dies ist besonders nützlich, um die Angriffsfläche einzuschränken, falls ein Dienst von Angreifern kompromittiert wird.
  • Verschlüsselte Anmeldeinformationen: Anmeldeinformationen, die von Diensten beim Start verwendet werden, können jetzt mithilfe eines systemd-creds-Befehls verschlüsselt und lokal oder auf TPM2-Chips gespeichert werden. Diese Anmeldeinformationen werden entschlüsselt und dem Dienst beim Start zur Verfügung gestellt, müssen aber nicht mehr in Konfigurationsdateien gespeichert werden, die von Benutzern gelesen werden könnten.
  • Sichere Benutzerdaten: Für Benutzer, die ein System mit mehreren Benutzern teilen, wurde systemd-homed verbessert, um die Benutzerdaten zwischen den Sitzungen zu schützen. systemd-homed versucht nun wiederholt, das Home-Verzeichnis des Benutzers beim Abmelden aufzuheben, um zu verhindern, dass vertrauliche Daten für den nächsten Benutzer zugänglich sind.

Kernel 5.19

Kernel 5.19 enthält mehrere kleine, aber signifikante Sicherheitsverbesserungen, die zwischen dem vorherigen Kernel 5.15 und der Kernel 5.19-Version von Ubuntu 22.10 eingeführt wurden. Hier sind einige der wichtigsten Änderungen:

  • Sichere Virtualisierung mit neuer CPU-Unterstützung von AMD und Intel, die Gast-VMs vor Hypervisor-basierten Angriffen schützt. AMDs Secure Nested Paging (SEV-SNP) bietet Schutz der Speicherintegrität, und Intels Trust Domain Extensions (TDX) bietet sowohl Speicherintegrität als auch Verschlüsselung.
  • Bessere Zufallszahlengenerierung, um nicht nur die Kryptografie zu verbessern, sondern auch die Leistung zu steigern.
  • Indirektes Branch-Tracking auf den neuesten CPUs von Intel. Indirect Branch Tracking (IBT) ist eine neue Methode der Control-Flow Enforcement Technology (CET), die hardwarebasierten Schutz vor Jump/Call Oriented Programming (JOP/COP) -Angriffen bietet.
  • Geradlinige Abwehr von Spekulationsangriffen. Abwehr auf Kernel-Ebene gegen den geradlinigen spekulativen CPU-Angriff der Spectre-Variante, der ursprünglich von ARM gemeldet wurde, aber auf mehreren CPUs vorhanden war.
  • Netfilter-Ausgangs-Hooks. Klassifizieren Sie den von Ihrem Host ausgehenden Datenverkehr und leiten Sie ihn möglicherweise auf der Grundlage von Regeln um, um Datenexfiltration zu verhindern.

Upgrade auf Ubuntu 22.10 mit dem Befehl do-release-upgrade

Im Idealfall würden wir immer neue Systeme bereitstellen, wenn ein neues Betriebssystem ausgeliefert wird. Aber wir leben nicht in einer idealen Welt. Es scheint immer spezielle Snowflake-Server zu geben, und die erneute Bereitstellung von Benutzerarbeitsplätzen wirkt sich auf die Produktivität aus. Wenn wir keine neuen Systeme bereitstellen können, können wir jederzeit ein Upgrade mit dem Befehl do-release-upgrade von Canonical durchführen:

# fully update and cleanup our existing 22.04 system
sudo apt-get update
sudo apt-get upgrade
sudo apt-get autoremove

# perform the upgrade
sudo apt-get install update-manager-core
sudo do-release-upgrade

So sichern Sie Ihr System weiter mit Hardening-Einstellungen und der Sicherheitsplattform von Mondoo

Zusätzlich zu den Sicherheitsupdates, die mit Ubuntu 22.10 geliefert werden, können Sie weitere Schritte unternehmen, um Ihr System zu sichern. Ein solcher Schritt besteht darin, die Härtungseinstellungen anzuwenden und sicherzustellen, dass alle wichtigen Pakete aktualisiert werden. Sie können das verwenden Open-Source-CNSPEC-Tool von Mondoo und dem Mondoo SaaS-Plattform zum Scannen und Berichten Bewährte Sicherheitsmethoden, paket Schwachstellen, und GUS-Benchmarks. Mondoo ist eine gehostete Sicherheitsplattform, die manuelle Sicherheitsprozesse für DevOps und Sicherheitsexperten automatisiert und Benutzern hilft, bekannte Sicherheitslücken und Fehlkonfigurationen schnell zu finden.

So scannen Sie Ihr Ubuntu 22.10-System mit Mondoos cnspec

Um Ihr Ubuntu 22.10-System mit dem cnspec-Tool von Mondoo zu scannen, müssen Sie zuerst das cnspec-Paket installieren. Sie können dies tun, indem Sie den folgenden Befehl ausführen:

bash -c "$(curl -sSL https://install.mondoo.com/sh/cnspec)"

Sobald cnspec installiert ist, können Sie Ihr System nach Fehlkonfigurationen durchsuchen. Sie können beispielsweise einen lokalen Scan durchführen, indem Sie den folgenden Befehl ausführen:

cnspec scan

cnspec kann eine Reihe von Dingen scannen, von Cloud-Konten bis Kubernetes-Clustersowie SaaS-Dienste wie MS365 oder Google Workspace.

Wenn Sie einen lokalen Scan ausführen, generiert cnspec einen Bericht, in dem der Sicherheitsstatus Ihres Systems hervorgehoben wird. Der Bericht enthält eine Liste der Kontrollen, die bestanden und nicht bestanden haben, mit den zugehörigen Ergebnissen.

So führen Sie erweiterte Sicherheitsscans mit der Mondoo-Plattform und cnspec durch

Wenn Sie sich authentifizieren cnspec mit der Mondoo-Plattform, das Tool kann zusätzliche Prüfungen durchführen, z. B. das Scannen von Paketen auf CVEs sowie CIS- und BSI-Compliance-Richtlinien. Die Ergebnisse des Scans werden zur Analyse auf der Mondoo-Plattform gespeichert.

Auf der Mondoo-Plattformkonsole können Sie einen allgemeinen Überblick über den Scanstatus jeder Richtlinie und Paketschwachstelle sowie über EOL-Daten einsehen. So können Sie beispielsweise überprüfen, ob das System für bekannte Sicherheitsbedrohungen anfällig ist, und sehen, welche Pakete aktualisiert werden müssen, um die besten Sicherheitspraktiken zu gewährleisten.

Letzte Gedanken

Wenn Sie ein Systemadministrator oder Sicherheitsingenieur sind, wissen Sie, wie schwierig es sein kann, mit allen Sicherheitsupdates und Patches Schritt zu halten, die zum Schutz der Vermögenswerte Ihres Unternehmens erforderlich sind. Aber mit der Mondoo-Plattform können Sie viele dieser Aufgaben automatisieren und so den Überblick über Ihre Sicherheit behalten. Außerdem haben Sie Zugang zu einer Community von gleichgesinnten Fachleuten, die Ihnen bei der Problembehandlung helfen und Tipps teilen können.

Verschwenden Sie keine Zeit mehr mit manuellen Updates und veralteten Sicherheitsprotokollen. Eröffnen Sie ein kostenloses Community-Konto auf Mondoo und sehen Sie, wie einfach Sicherheit sein kann!

Find and fix the security risks that pose the biggest threat to your business.

Get started

Tim Smith

Tim Smith ist Produktmanager bei Mondoo. Er arbeitet seit 2007 in den Bereichen Webbetrieb und Softwareentwicklung und seit 1994 in der Portscan-Klasse As. Er lud seine erste Linux-Distribution auf ein 14.4-Modem herunter. Tim hatte zuletzt Positionen bei Limelight Networks, Cozy Co und Chef Software inne.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.