Blog home
Linux

Erkunden Sie die neuesten Sicherheitsfunktionen in Ubuntu 24.04

Tim Smith
April 19, 2024
Lesedauer: 7 Minuten

In den nur zwei Jahren seit der Veröffentlichung der letzten LTS-Version von Ubuntu hat sich die Technologielandschaft tiefgreifend verändert. Da wir eine explosionsartige Zunahme von Ransomware-Angriffen und kritischen Linux-CVEs erlebt haben, ist es wichtiger denn je, Linux-Systeme abzusichern. Zum Glück hat die Branche darauf reagiert und sich auf die Sicherheit der Linux-Kernkomponenten konzentriert. Dieser Schwerpunkt macht Ubuntu 24.04 zur vielleicht wichtigsten Ubuntu-Version aller Zeiten für diejenigen, die sich mit der Sicherung ihrer Systeme befassen. Wir haben verschiedene Linux-Projekt-Changelogs, Debian-Paketbetreuer-Mailinglisten und Stapel von Seiten auf dem Launchpad-System von Canonical durchsucht, um Ihnen eine definitive Liste aller Sicherheitsneuheiten in Ubuntu 24.04 zu bieten. Denken Sie, wir haben etwas Wichtiges verpasst? Lass es uns wissen unter hello@mondoo.com.

Kernel 6.8

Bei Kernel-Updates geht es nicht nur darum, endlich dein unübersichtliches WLAN zu reparieren oder ein paar mehr FPS aus Tux Racer herauszuholen; sie beinhalten auch ernsthafte Sicherheitsverbesserungen. Und mit Ubuntu 24.04 macht der Linux-Kernel den Sprung von 5.15 auf 6.8. Diese zwei Jahre der Kernelentwicklung sind mit erheblichen Sicherheitsverbesserungen verbunden, von CPU-fähiger Sicherheit bis hin zur Hypervisor-Sicherheit, alles mit dem Ziel, Ihre Systeme vor Angreifern zu schützen.

Hardwarebasierte Sicherheit

In letzter Zeit scheint es einen endlosen Strom von Hardwareangriffen gegeben zu haben, von Meltdown und Spectre bis hin zu den neuesten M1/M2-Prozessorangriffen. Die Behebung dieser Sicherheitslücken hatte kostspielige Auswirkungen auf die Leistung der Systeme, aber jetzt gibt es endlich Abhilfe in Form einer verbesserten Hardwaresicherheit, um zu verhindern, dass viele dieser Angriffe in Zukunft auftreten. Das Beste daran ist, dass es egal ist, ob Sie dem Team AMD oder dem Team Intel angehören: In diesen neuesten Kernel-Versionen ist für jeden etwas dabei.

Intel-spezifische Verbesserungen

  • Indirect Branch Tracking (IBT) auf den neuesten CPUs von Intel ist eine neue Methode der Control-Flow Enforcement Technology (CET). Sie bietet hardwarebasierten Schutz vor Jump/Call-Oriented Programming (JOP/COP) -Angriffen auf Tiger Lake und spätere Prozessoren. Sehen Sie sich das an LWN-Artikel für weitere Informationen.
  • Durch die Unterstützung der Hardware-Sicherheitsspeicherfunktion Software Guard Extensions 2 (SGX2) von Intel (die in den Gemini Lake/Ice Lake-Prozessoren eingeführt wurde) wird eine verbesserte sichere Speicherenklave eingeführt, die es Prozessen ermöglicht, Speicherplatz zu verschlüsseln, um Schnüffeln zu verhindern. Eine besonders interessante Anwendung dieser Technologie ist die Verschlüsselung des VM-Speichers, um zu verhindern, dass andere Systemprozesse oder virtuelle Maschinen den Inhalt lesen.
  • Intel Linear Address Masking reserviert auf sichere Weise einen Teil des Zeigeradressraums für Metadaten. Beachten Sie, dass diese LAM-Implementierung spezifisch für Intel-Prozessoren ist und sich von der AMD-Implementierung unterscheidet, die 2019 ausgeliefert wurde. Sehen Sie sich das an LWN-Artikel für weitere Informationen.
  • Intel Control-Flow Enforcement Technology (CET) ist ein Marketingname für Intels Implementierung eines Shadow-Stack-Systems. In diesem System wird aus Paritätsgründen ein zweiter Shadow-Stack beibehalten, der nicht direkt geändert werden kann. Der Prozessor überträgt Absenderadressen sowohl an den Standardstapel als auch an den Shadow-Stack und vergleicht dann die Rückgabewerte, um sicherzustellen, dass sie übereinstimmen. Indem der Prozessor bei unterschiedlichen Stack-Adressen einen Fehler ausgibt, kann er Control-Flow-Hijack-Angriffe verhindern. Um mehr zu erfahren, lesen Sie Intels ausführliche PDF-Beschreibung darüber, wie dieses System funktioniert.
  • Die Abwehr der Hardware-Sicherheitslücke Gather Data Sampling (GDS) ermöglicht unprivilegierten spekulativen Zugriff auf Daten, die zuvor in Vektorregistern gespeichert waren. Sehen Sie sich das an Intel GDS-Artikel für eine sehr ausführliche Beschreibung dieser Sicherheitslücke.

AMD-spezifische Verbesserungen

  • Es gibt jetzt eine Abschwächung für die Speculative Return Stack Overflow (SRSO) -Sicherheitslücken in AMD-Prozessoren (CVE-2023-20569). Weitere Informationen finden Sie im Kernel-SRSO-Dokumente für weitere Informationen darüber, wie die Minderung erreicht wurde.
  • Die Unterstützung der automatischen IBRS (Indirect Branch Restricted Speculation) des AMD Zen 4 sorgt für Abschwächung von Spectre v2, ohne dass reine Software-Maßnahmen die Leistung beeinträchtigen. Vgl. Leistungstests von Phoronix.com für eingehendes Benchmarking.

Für jeden etwas dabei

  • Die Abwehr linearer Spekulationsangriffe bietet Abwehr auf Kernel-Ebene gegen den CPU-Angriff mit geradliniger Spekulation in der Spectre-Variante, der ursprünglich von ARM gemeldet wurde (aber in mehreren anderen CPU-Architekturen vorhanden ist).
  • Die Unterstützung von Kernel Control Flow Integrity (KCFI) ist eine der interessantesten Kernel-Sicherheitsfunktionen, die kürzlich eingeführt wurden. Diese neue CFI-Implementierung ist einfacher zu aktivieren und schützt den Kernel vor Angriffen, die den Kernel-Kontrollfluss verändern. Sieh dir das an ausgezeichneter LWN.net-Artikel für einen detaillierten Blick darauf, wie CFI den Kernel schützt.

Hypervisor-Sicherheit

  • Sichere Virtualisierung mit neuer CPU-Unterstützung von AMD und Intel schützt Gast-VMs vor Hypervisor-basierten Angriffen. AMDs Secure Nested Paging (SEV-SNP) bietet Schutz der Speicherintegrität. Intels Trust Domain Extensions (TDX) bieten sowohl Speicherintegrität als auch Verschlüsselung.
  • Die Unterstützung von Hyper-V Virtual Trust Level (VTL) bietet 16 Vertrauenszugriffsebenen für virtuelle Maschinen, um Speicher, virtuelle CPUs und Interrupts auf der Grundlage der Vertrauensstufe zu isolieren. Siehe Microsofts Dokumentation zum virtuellen sicheren Modus für weitere Informationen.
  • Die Unterstützung von Hyper-V Confidential VM wurde um PCI-Pass-Thru-Unterstützung erweitert.
  • Die Speicherakzeptanz (wie in der UEFI-Spezifikation Version 2.9 definiert) unterstützt sichere VMs mit Intel's TDX und AMDs SEV-SNP. Auf diese Weise kann die VM mit einer Mindestmenge an Arbeitsspeicher starten und später zusätzlichen Speicher sicher annehmen, wenn er benötigt wird, und nicht erst, wenn der Hypervisor ihn bereitstellt. Weitere Informationen finden Sie im LWN-Artikel für Informationen darüber, wie diese Funktion letztendlich ausgeliefert wurde.

Verbesserungen der Kryptografie

  • Eine bessere Generierung von Zufallszahlen verbessert nicht nur die Kryptografie, sondern erhöht auch die Leistung.
  • Die Unterstützung von HCTR2, einer längenschonenden Verschlüsselungsmethode (Klartextgröße == verschlüsselte Größe), funktioniert gut mit der Hardwarebeschleunigung in x86- und ARM-Prozessoren.
  • Die Hardwarebeschleunigung für AES-Chiffre im GCM-Modus auf ARM erhöht die Leistung beim Testen um ~ 75%.
  • Es gibt auch Hardwarebeschleunigung für die ARIA-Chiffre auf Intel AVX2- und AVX-512-fähigen Prozessoren.
  • Die DES-basierte Verschlüsselung für NFS-Verbindungen ist standardmäßig deaktiviert. SHA-1 kann auch deaktiviert werden.
  • Ubuntu 24.04 entfernt die Unterstützung für unsicheres X.509 MD4/MD5/SHA1.
  • Die Version beinhaltet FIPS 202 SHA-3-Unterstützung.

Netzwerksicherheit

  • NFSD hat Unterstützung für RPC-with-TLS hinzugefügt.
  • Die Unterstützung der TCP-Authentifizierungsoption (TCP-AO, wie in RFC5925 definiert) bietet eine neue, sicherere Methode zur Überprüfung von TCP-Segmenten zwischen Hosts als das ältere TCP-MD5.
  • Netfilter-Hooks für ausgehenden Datenverkehr klassifizieren den von Ihrem Host ausgehenden Datenverkehr und leiten ihn möglicherweise um, basierend auf Regeln, um Datenexfiltration zu verhindern.

Speichersicherheit

  • Randomisierte Slab-Caches verhindern Memory-Heap-Sprying-Angriffe. Erfahren Sie mehr über diese Technik zur Schadensbegrenzung in der kernel.org git commit.
  • Ubuntu 24.04 unterstützt geheimen Speicher mit einem neuen memfd_secret-Systemaufruf. Mit diesem neuen Systemaufruf kann ein Prozess Daten in den Systemspeicher schreiben, die nur dieser Prozess lesen kann. Dadurch kann verhindert werden, dass Prozesse Schlüssel aus dem Speicher ausspionieren.

Zeit für SELinux

Nicht zuletzt ist dies die erste Version von Ubuntu, in der SELinux zur Laufzeit nicht deaktiviert werden kann. 2024 ist endlich das Jahr, in dem Sie lernen, wie Sie Ihre App mit aktiviertem SELinux ordnungsgemäß ausführen können, da dies keine Wahl mehr ist.

Find and fix the security risks that pose the biggest threat to your business.

Get started

Sudo 1.9.15

Sudo 1.9.15, in Ubuntu 24.04 enthalten, bietet mehrere nützliche Sicherheitsverbesserungen, mit denen Benutzer besser kontrollieren können, wer Sudo verwenden kann und wie sich die Authentifizierung verhält. Hier sind einige der wichtigsten Änderungen:

  • Die use_pty sudoers-Option ist jetzt standardmäßig gesetzt, um vor Rechteausweitungen und Befehlsinjektionen zu schützen.
  • Reguläre POSIX-Ausdrücke werden jetzt in der sudoers-Datei unterstützt, um unsafe zu ersetzen * Übereinstimmungen, die es Benutzern ermöglichen könnten, Befehle auszuführen, die von Administratoren nicht beabsichtigt sind.
  • Benutzerdefinierte Sudo-Prompts können auch verwendet werden, wenn das Sudo-Kerberos-Modul verwendet wird.
  • Befehle können erzwungen werden, unter AppArmor-Profilen ausgeführt zu werden, die die Sicherheit mit einem neuen APPARMOR_PROFIL Sudoers-Konfigurationsoption.
  • Basis-Sudo-Konfigurationsdateien können jetzt auf schreibgeschützten Systemen gespeichert werden, während immer noch ein beschreibbares Verzeichnis für Überschreibungen angegeben wird.

Wohnung 2.7.10

Es mag sich so anfühlen, als ob die APT-Funktionalität in Stein gemeißelt ist, aber diese Version von Ubuntu aktualisiert apt von 2.4.11 auf 2.7.10 mit drei netten Sicherheitserweiterungen:

  • Pakete mit derselben Version werden jetzt zusätzlich mithilfe von SHA-256-Hashes validiert.
  • Fehler beim Ausführen von apt auf FIPS-fähigen Systemen wurden behoben.
  • Repositorys (und PPAs) müssen jetzt 2048-Bit-RSA oder eine höhere Signatur verwenden.

Core-Utils 9.4

Das coreutils-Paket enthält Favoriten wie ls, mv, tr und chksm. Wenn es sich wie UNIX der 70er Jahre anfühlt, ist es wahrscheinlich Teil des Coreutils-Pakets. Ubuntu 24.04 aktualisiert Coreutils von 8.32 auf 9.4 mit einigen bemerkenswerten Sicherheitsverbesserungen beim Schreiben von Skripten:

  • Überspringen Sie die Verwendung einzelner Binärdateien für jedes Prüfsummenformat und verwenden Sie stattdessen chksum -a ALGORITHMUS um Prüfsummen zu validieren.
  • chksum -a unterstützt jetzt den SM3-Algorithmus.
  • chksum --check erkennt jetzt automatisch Prüfsummenformate, sodass Sie sich keine Gedanken darüber machen müssen, welches Format bereitgestellt wird.
  • chksum —check unterstützt jetzt CRLF-Zeilenenden in Prüfsummendateien.
  • Prüfsumme CRC Die Unterstützung ist jetzt 4-8x schneller.

sssd 2.9.4

sssd, das die Authentifizierung gegen Remote-Verzeichnisserver ermöglicht, wurde von 2.6.3 auf 2.94 aktualisiert und enthält einige bemerkenswerte neue Funktionen, speziell für Workstation-Bereitstellungen in Unternehmen. Es unterstützt jetzt:

  • Passkey-Authentifizierung zur Verwendung mit FIDO2-kompatiblen Geräten
  • OAuth2-Authentifizierung gegen die neuesten Versionen von FreeIPA

systemd 25

systemd, das Herzstück moderner Linux-Systeme, hat einen großen Einfluss auf die Gesamtsicherheit von Hosts. Die neue Version, systemd 255, beinhaltet Verbesserungen zur besseren Sicherung einzelner Unit-Dateien (wie Dienste), zur Verschlüsselung von Festplatten mithilfe von Schlüsseln in TPM2-Chips und zur Verbesserung der Gesamtsicherheit des Systems.

Verbesserungen der Einheitendatei für sichere Dienste

  • Neue Systemd-Unit-Konfigurationsoptionen ermöglichen es Benutzern, den Dateisystem- und Netzwerkzugriff von Diensten einzuschränken. Dies ist besonders nützlich, um die Angriffsfläche einzuschränken, falls ein Dienst von Angreifern kompromittiert wird.
  • Anmeldeinformationen, die von Diensten beim Start verwendet werden, können jetzt verschlüsselt und lokal oder auf TPM2-Chips mit einem gespeichert werden systemd-Credits Befehl. Diese Anmeldeinformationen werden entschlüsselt und dem Dienst beim Start zur Verfügung gestellt, müssen aber nicht mehr in Konfigurationsdateien gespeichert werden, die von Benutzern gelesen werden könnten.
  • Neue Optionen für die Gerätekonfiguration, Limit Interval Sek neu laden und Limitburst neu laden, lassen Sie kontrollieren, wie schnell Dienste versuchen, neu zu starten. Dies sind hervorragende Konfigurationsoptionen, um Denial-of-Service-Angriffe auf das System durch Dienstabstürze zu verhindern.

Verbesserungen bei TPM2 und vollständiger Festplattenverschlüsselung (FDE)

  • Die Kommunikation zwischen Systemd- und TPM2-Geräten wird jetzt zur Verbesserung der Sicherheit mithilfe eines Bindungsschlüssels durchgeführt.
  • Das systemd-cryptenroll Der Befehl beinhaltet eine verbesserte Unterstützung für das Entsperren mit FIDO2-Token.
  • Ein neues Tool, ukify, zum Erstellen von Unified Kernel Images, kann beim Dual-Booten von Linux mit verschlüsselten Windows-Laufwerken Schlüssel zur vollständigen Festplattenverschlüsselung (FDE) aus dem TPM2-Speicher abrufen.
  • systemd-cryptenroll ermöglicht jetzt die Registrierung ohne Zugriff auf die eigentliche TPM2-Hardware mithilfe der Option --tpm2-device-key und des öffentlichen Schlüssels. Dies kann verwendet werden, um LUKS-Images für einen bestimmten TPM2-Chip offline zu versiegeln.
  • systemd-cryptenroll kann jetzt ein TPM2-Schlüssel-Handle angeben, anstatt den Standard-Storage Roto Key (SRK) zu verwenden.
  • Ein TPM2-Speicherstammschlüssel wird jetzt beim Systemstart (falls nicht bereits vorhanden) über den Dienst systemd-tpm2-setup eingerichtet.

Sicherheit virtueller Maschinen

  • VM-Bootstrap-Konfigurationsdaten können jetzt an Systemd übergeben werden, ohne dass Cloud-Init erforderlich ist, indem Daten mithilfe des DMI-Typ-11-Felds übergeben werden.
  • Unit-Dateien können jetzt erkennen, wenn sie auf vertraulichen virtuellen Maschinen mit einem neuen ausgeführt werden cvm Wert in der ConditionSecurity-Konfiguration.

Allgemeine Systemsicherheit

  • Für Benutzer, die ein System mit anderen Benutzern teilen, wurde systemd-homed verbessert, um die Benutzerdaten zwischen den Sitzungen zu schützen. systemd-homed versucht nun wiederholt, das Home-Verzeichnis des Benutzers beim Abmelden aufzuheben, um zu verhindern, dass der nächste Benutzer auf vertrauliche Daten zugreift.
  • systemd-resolved verwendet jetzt weiterhin DNS über TLS, auch wenn es neu gestartet wurde. Es schlägt auch nicht mehr fehl, wenn der Nameserver ein unbekanntes Protokoll verwendet.
  • Networkd unterstützt jetzt die Übergabe von Werten an die Kernel-Netlabel-Module über ein neues Netzetikett = Konfigurationsoption.
  • Die Spezifikation /etc/os-release enthält jetzt eine optionale SUPPORT_ENDE Feld, um Distributions-EOL-Daten für Tools wie Mondoo verfügbar zu machen. Danke, Systemd-Team!
  • Das Starten von Prozessen wurde verbessert, sodass der Speicherplatz des Managers nicht vor dem Exec vererbt wird.
  • System- und Dienstanmeldedaten werden jetzt in einem gespeichert tmpfs Volumen mit dem kein Tausch Option, um ACL-Unterstützung und Durchsetzung von Größenbeschränkungen zu ermöglichen.

Cryptsetup 2.7.0

cryptsetup ist ein Hilfsprogramm, das im Allgemeinen zur Einrichtung der LUKS-Festplattenverschlüsselung (Linux Unified Key Setup) zusammen mit anderen von dm-crypt unterstützten Formaten verwendet wird. Ubuntu 24.04 aktualisiert Cryptsetup von 2.4.3 auf 2.7.0 und bringt viele nützliche neue Funktionen in die Welt der vollständigen Festplattenverschlüsselung:

  • Entfernen Sie die Verschlüsselung von einem Volume mit einem neuen --Entschlüsselung Flagge.
  • Füge ein neues hinzu --force-offline-neu verschlüsseln Flag, um den Offline-Neuverschlüsselungsprozess zu erzwingen.
  • Erlauben Sie Benutzern nicht, versehentlich Volumes mit verschachtelter Verschlüsselung zu erstellen
  • Unterstützung für FileVault2-Verschlüsselung auf HFS+-Volumes hinzugefügt. Hinweis: Dies ist keine modernere FileVault-Unterstützung auf APFS.
  • Verbessern Sie die Erkennung der FIPS-Unterstützung auf dem System.
  • Unterstützt die Hardware-OPAL-Festplattenverschlüsselung auf selbstverschlüsselnden Festplatten (SEDs).

Es gibt noch mehr

Bemerkenswerterweise ist dies nicht das volle Ausmaß der Sicherheitsverbesserungen in Ubuntu 24.04. Aber das sind die Funktionen, die uns am meisten begeistern. Die Linux-Community nimmt es ernst, so viele Vorteile wie möglich für den Schutz von Systemen zu bieten, und das spiegelt sich in dieser neuen Ubuntu LTS-Version wider.

All diese Verbesserungen geben Ihnen zwar die Möglichkeit, Ihre Umgebungen besser abzusichern, aber Sie müssen dennoch intelligente Konfigurationsentscheidungen treffen und den Überblick über neue Sicherheitslücken behalten, die täglich auftreten. Mondoo ist eine einheitliche Plattform, die den Sicherheitsproblemen Priorität einräumt, deren Behebung am wichtigsten ist. Anstatt Sie mit einem Strom aus risikoarmen und irrelevanten Erkenntnissen zu ertränken, deckt Mondoo die Sicherheitsprobleme auf, die im Kontext Ihrer einzigartigen Infrastruktur am kritischsten sind. Um mehr zu erfahren, lesen Sie Feuerwache, unsere neuesten Priorisierungsfunktionen.

Tim Smith

Tim Smith ist Produktmanager bei Mondoo. Er arbeitet seit 2007 in den Bereichen Webbetrieb und Softwareentwicklung und seit 1994 in der Portscan-Klasse As. Er lud seine erste Linux-Distribution auf ein 14.4-Modem herunter. Tim hatte zuletzt Positionen bei Limelight Networks, Cozy Co und Chef Software inne.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.