Linux

Was ist neu in Debian 12 Security

Es ist fast zwei Jahre her, seit Debian 11 veröffentlicht wurde, und seitdem sind die Linux-Community sowie die Debian-Paketbetreuer damit beschäftigt, spannende neue Sicherheitsfunktionen auszuliefern. Es gibt buchstäblich zu viele, um sie in einem Blogbeitrag wie diesem aufzulisten, also werden wir sehen, ob wir einige der interessantesten neuen Funktionen behandeln können, die Sie vielleicht verpasst haben, wenn Sie die Changelogs nicht mit feinem Kamm durchlesen.

Linux-Kernel

Eines der größten Sicherheitsupgrades ist das Upgrade des Linux-Kernels von 5.10 auf 6.1.

CPU-spezifische Änderungen

  • Die Unterstützung der Intel Software Guard Extensions (SGX 1/2) -Systeme ermöglicht es Anwendungen, Daten in sichere, hardwareschützte Enklaven zu schreiben. Dies ist ideal für die Speicherung sensibler Daten wie Verschlüsselungs- oder Autorisierungsschlüssel. Eine besonders interessante Anwendung dieser Technologie ist die Verschlüsselung des VM-Speicherplatzes, um zu verhindern, dass andere Systemprozesse oder virtuelle Maschinen den Inhalt lesen können. Sehen Sie sich das an Intel SGX-Seite für weitere Informationen.
  • Verbesserungen zur Verwendung mit dem Secure Encryption Virtualization (SEV) -System von AMD unterstützen die Verschlüsselung virtualisierter Gastregister, sodass sie vom Host (oder anderen Gästen) nicht gelesen werden können. Sehen Sie sich das an AMD SEV-Seite für weitere Informationen.
  • Sichere Virtualisierung mit neuer CPU-Unterstützung von AMD und Intel, die Gast-VMs vor Hypervisor-basierten Angriffen schützt. AMDs Secure Nested Paging (SEV-SNP) bietet Schutz der Speicherintegrität, und Intels Trust Domain Extensions (TDX) bietet sowohl Speicherintegrität als auch Verschlüsselung.
  • Indirektes Branch-Tracking auf den neuesten CPUs von Intel. Indirect Branch Tracking (IBT) ist eine neue Methode der Control-Flow Enforcement Technology (CET), die hardwarebasierten Schutz vor Jump/Call Oriented Programming (JOP/COP) -Angriffen bietet.
  • Geradlinige Abwehr von Spekulationsangriffen. Abwehr auf Kernel-Ebene gegen den geradlinigen spekulativen CPU-Angriff der Spectre-Variante, der ursprünglich von ARM gemeldet wurde, aber auf mehreren CPUs vorhanden war.

Speicherzugriff

  • Unterstützung für die Randomisierung des Stack-Adressoffsets bei jedem Systemaufruf. Sehen Sie sich das an Phoronix-Artikel für weitere Informationen zur Aktivierung dieser Funktion.
  • Neuer Kernel Concurrency Sanitizer (KCSAN) zur Erkennung von Datenrennen mithilfe von Kompilierzeit-Speicherzugriffsinstrumenten, die sowohl in GCC als auch in Clang unterstützt werden. Sehen Sie sich das an kernel.org-Dokumentation für weitere Informationen.
  • Neue Unterstützung für Kernel Control Flow Integrity (KCFI). Diese neue CFI-Implementierung kann einfacher aktiviert werden und schützt den Kernel vor Angriffen, die den Kernel-Kontrollfluss verändern. Sieh dir das an ausgezeichneter LLWN.net-Artikel für einen detaillierten Blick darauf, wie CFI den Kernel schützt.

Prozessisolierung

  • Das neue Landlock Linux Security Module ermöglicht Prozess-Sandboxing, indem es Prozessen ermöglicht, zusätzliche Einschränkungen zusätzlich zu den auf Systemebene festgelegten Einschränkungen selbst festzulegen. Sehen Sie sich die an Dokumentation zum Landlock Linux-Kernel für weitere Informationen.

Dateisysteme

  • Googles fscrypt-Projekt für die hardwarebeschleunigte vollständige Festplattenverschlüsselung auf f2fs- und ext4-Dateisystemen wurde zusammengeführt
  • Das CIFS-Dateisystemmodul unterstützt die schwachen LANMAN- und NTLM-Protokolle, die von SMBv1 verwendet werden, nicht mehr.
  • NTFS-Unterstützung ist jetzt integriert, sodass keine NTFS-Treiber für den Benutzerbereich von Drittanbietern erforderlich sind

SELinux

  • Verbesserte SELinux-Leistung mit Kontext-Caching
  • Eine neue Datenstruktur reduziert den Policy-Speicherplatz um die Hälfte

Verschlüsselung

  • Unterstützung für ARIA-GCM sowie 256-Bit-TLS-Hardware-Offload.
  • Unterstützung für HCTR2, eine längenschonende Verschlüsselungsmethode (Klartextgröße == verschlüsselte Größe), die gut mit der Hardwarebeschleunigung in x86- und ARM-Prozessoren funktioniert.
  • Bessere Zufallszahlengenerierung, um nicht nur die Kryptografie zu verbessern, sondern auch die Leistung zu steigern.

OpenSSH 9.1

Die vielleicht größte benutzerorientierte Änderung in Debian 12 ist das Upgrade von OpenSSH 8.4 auf die OpenSSH 9.1-Version. Dieses Update führt mehrere Sicherheitsverbesserungen ein, darunter:

  • Stärkere Standardmethode für den Schlüsselaustausch und bevorzugte Einstellungen für den ersten Schlüssel
  • Entfernung des alten SCP-Protokolls
  • Sicherere Ausführung von sshd

OpenSSH 9.1 verwendet standardmäßig die neuen ED25519-Signaturen anstelle von ECDSA. Es verwendet auch die Streamlined NTRU Prime + x25519-Schlüsselaustauschmethoden, wodurch es weniger anfällig für zukünftige Quantencomputerangriffe ist. Diese neue Methode für den Schlüsselaustausch beinhaltet ein Fallback auf den vielfach getesteten x25519-Standard, der in früheren OpenSSH-Versionen eingeführt wurde. Darüber hinaus entfernt das Update das unsichere SCP-Protokoll, das im Laufe der Jahre zu mehreren CVEs geführt hat. Der Befehl scp verwendet nun das neuere und sicherere SFTP-Protokoll unter der Haube, wobei die Abwärtskompatibilität gewahrt bleibt, solange sowohl auf dem Client als auch auf dem Server OpenSSH 8.7 oder spätere Versionen ausgeführt werden.

OpenSSL 3

OpenSSL wurde in den letzten drei Jahren entwickelt und beinhaltet umfangreiche Änderungen an der Projektstruktur, die die Wartung und Schnittstelle zu OpenSSL erleichtern sollen.

Eine der aufregendsten Funktionen von OpenSSL 3 ist das integrierte validierte FIPS 140-2-Modul. Die vorherige FIPS-Implementierung war nicht direkt in die OpenSSL-Codebasis integriert und funktionierte nur mit dem aktuellen EOL OpenSSL 1.0.2.

OpenSSL 3 verwendet auch die kryptografischen APIs des Linux-Kernels für einige seiner TLS-Operationen. Dies führt zu einer verbesserten Leistung und ermöglicht die Verwendung von Hardware-Beschleunigerkarten. Dies könnte in Zukunft potenziell interessant sein, um die TLS-Arbeit von Webservern oder Load Balancern auszulagern.

Schließlich wäre es keine neue OpenSSL-Version ohne eine große Anzahl neuer unterstützter Algorithmen:

  • KDF-Algorithmen SINGLE STEP und SSH
  • MAC-Algorithmen GMAC und KMAC
  • KEM-Algorithmus RSASVE und Verschlüsselungsalgorithmus AES-SIV
  • Neue Schemaunterstützung für PKCS #7 und PKCS #12
  • Unterstützung des neuen PKCS-Signaturverifizierungsalgorithmus

Sudo 1.9.13

Auf den ersten Blick könnte man denken, dass das Upgrade von Sudo 1.9.5 auf 1.9.13 hauptsächlich aus Bugfixes bestehen würde, aber dieses Upgrade bietet zusammen mit fast 100 Bugfixes eine große Sicherheitslücke.

  • Eine neue Abfangfunktion ermöglicht es Ihnen, bestimmte Unterbefehle abzufangen und zu blockieren, die durch erlaubte Befehle wie Shells ausgeführt werden könnten. Sehen Sie sich die an Blogbeitrag zum Abfangen von Sudo-Befehlen für weitere Informationen.
  • Wenn Sie noch nicht bereit sind, Unterbefehle zu blockieren, aber wissen möchten, wann sie eine neue ausführen log_subcmds Die Konfigurationsoption fügt die Protokollierung von Unterbefehlen hinzu. Sehen Sie sich das an sudo 1.9.8-Blogbeitrag für weitere Informationen.
  • Benutzer können jetzt die erlaubten Befehle für andere Benutzer mit einem neuen Befehl list sudo auflisten. Um zu sehen, ob der Benutzer tsmith cnspec ausführen kann, führen Sie sudo -U tsmith -l cnspec aus.
  • Ein neuer log_passwörter Die Option kann deaktiviert werden, um das Protokollieren von Passwörtern in Sudo-Logs zu verhindern.
  • Reguläre POSIX-Ausdrücke werden jetzt in der sudoers-Datei unterstützt, um unsichere *-Übereinstimmungen zu ersetzen, die es Benutzern ermöglichen könnten, Befehle auszuführen, die nicht von Administratoren beabsichtigt waren.
  • Benutzerdefinierte Sudo-Prompts können verwendet werden, wenn auch das Sudo-Kerberos-Modul verwendet wird.

systeme 251

systemd, das Herzstück moderner Linux-Systeme, hat einen großen Einfluss auf die Gesamtsicherheit von Hosts. Debian 12 aktualisiert Systemd von 247 auf 251, einschließlich mehrerer Änderungen, die Dienste sicherer machen. Hier sind einige der wichtigsten Änderungen:

  • Eingeschränkter Dateisystem- und Netzwerkzugriff: Neue Systemd-Unit-Konfigurationsoptionen ermöglichen es Benutzern, den Dateisystem- und Netzwerkzugriff von Diensten einzuschränken. Dies ist besonders nützlich, um die Angriffsfläche einzuschränken, falls ein Dienst von Angreifern kompromittiert wird.
  • Verschlüsselte Anmeldeinformationen: Anmeldeinformationen, die von Diensten beim Start verwendet werden, können jetzt mithilfe eines systemd-creds-Befehls verschlüsselt und lokal oder auf TPM2-Chips gespeichert werden. Diese Anmeldeinformationen werden entschlüsselt und dem Dienst beim Start zur Verfügung gestellt, müssen aber nicht mehr in Konfigurationsdateien gespeichert werden, die von Benutzern gelesen werden könnten.
  • Zahlreiche Verbesserungen der LUKS2-Volume- und Partitionsunterstützung, einschließlich der Möglichkeit, LUKS2-Volumes mithilfe von TPM2-Hardware oder FIDO2-Hardware zu entsperren, und ein neues Hilfsprogramm, systemd-cryptenroll, zum Registrieren von Token auf LUKS-Volumes.
  • Sichere Benutzerdaten: Für Benutzer, die ein System mit mehreren Benutzern teilen, wurde systemd-homed verbessert, um die Benutzerdaten zwischen den Sitzungen zu schützen. systemd-homed versucht nun wiederholt, das Home-Verzeichnis des Benutzers beim Abmelden aufzuheben, um zu verhindern, dass vertrauliche Daten für den nächsten Benutzer zugänglich sind.
  • Die Kommunikation zwischen Systemd- und TPM2-Geräten wird jetzt zur Verbesserung der Sicherheit mithilfe eines Bindungsschlüssels durchgeführt.
  • SystemD-resolved verwendet jetzt weiterhin DNS über TLS, auch wenn es neu gestartet wurde, und es wird nicht mehr Hardfail mehr geben, wenn der Nameserver ein unbekanntes Protokoll verwendet.
  • Networkd unterstützt jetzt die Übergabe von Werten an die Kernel-Netlabel-Module über eine neue Konfigurationsoption `netLabel=`.
  • VM-Bootstrap-Konfigurationsdaten können jetzt an Systemd übergeben werden, ohne dass Cloud-Init erforderlich ist, indem Daten mithilfe des DMI-Typ-11-Felds übergeben werden.
  • Die Spezifikation /etc/os-release enthält jetzt ein optionales SUPPORT_END-Feld, um Distributions-EOL-Daten für Tools wie Mondoo verfügbar zu machen. Danke, Systemd-Team!
  • Resolvectl enthält jetzt Informationen darüber, von wo aus ein Host aufgelöst wurde und ob die Kommunikation verschlüsselt wurde.

Andere Service-Upgrades

Abgesehen von den Kernsystempaketen wurden viele gängige Dienste, die auf Debian laufen, in der Version 12.0 erheblich verbessert. Wenn Sie Web-, Datei- oder Datenbankserver betreiben, warten bedeutende Sicherheitsverbesserungen auf Sie:

  • PostgresSQL 13.11 -> 15.3
  • MariaDB 10.5 -> 10.11
  • Redis 6.0 -> 7.0
  • Tintenfisch 4,13 -> 5,7
  • Bindung 9.16 -> 9.18
  • Postfix 3.5 -> 3.7
  • Samba 4,13 -> 4,17
  • Nginx 1.18 -> 1.22
  • Samba 4,13 -> 4,17
  • runc 1.0 -> 1.1 aus
  • enthält 1.4 -> 1.6

Find and fix the security risks that pose the biggest threat to your business.

So sichern Sie Ihr System weiter mit Hardening-Einstellungen und der Sicherheitsplattform von Mondoo

Zusätzlich zu den Sicherheitsupdates, die mit Debian 12 geliefert werden, gibt es weitere Schritte, die Sie ergreifen können, um Ihr System zu sichern. Ein solcher Schritt besteht darin, Sicherheitseinstellungen anzuwenden und sicherzustellen, dass alle kritischen Pakete aktualisiert werden. Sie können das verwenden Open-Source-CNSPEC-Tool von Mondoo und dem Mondoo SaaS-Plattform zum Scannen und Berichten Bewährte Sicherheitsmethoden, paket Schwachstellen, und GUS-Benchmarks. Mondoo ist eine gehostete Sicherheitsplattform, die manuelle Sicherheitsprozesse für DevOps und Sicherheitsexperten automatisiert und Benutzern hilft, bekannte Sicherheitslücken und Fehlkonfigurationen schnell zu finden.

So scannen Sie Ihr Debian 12-System mit Mondoos cnspec

Um Ihr Debian 12-System mit dem cnspec-Tool von Mondoo zu scannen, müssen Sie zuerst das cnspec-Paket installieren. Sie können dies tun, indem Sie den folgenden Befehl ausführen:

bash -c „$ (curl -sL https://install.mondoo.com/sh)“

Sobald cnspec installiert ist, können Sie Ihr System nach Fehlkonfigurationen durchsuchen. Sie können beispielsweise einen lokalen Scan durchführen, indem Sie den folgenden Befehl ausführen:

cnspec-Scan

cnspec kann eine Reihe von Dingen scannen, von Cloud-Konten bis Kubernetes-Clustersowie SaaS-Dienste wie MS365 oder Google Workspace.

Wenn Sie einen lokalen Scan ausführen, generiert cnspec einen Bericht, in dem der Sicherheitsstatus Ihres Systems hervorgehoben wird. Der Bericht enthält eine Liste der Kontrollen, die bestanden und nicht bestanden haben, mit den zugehörigen Ergebnissen.

So führen Sie erweiterte Sicherheitsscans mit der Mondoo-Plattform und cnspec durch

Wenn Sie sich authentifizieren cnspec mit der Mondoo-Plattform, das Tool kann zusätzliche Prüfungen durchführen, z. B. das Scannen von Paketen auf CVEs sowie CIS- und BSI-Compliance-Richtlinien. Die Ergebnisse des Scans werden zur Analyse auf der Mondoo-Plattform gespeichert.

Mondoo platform console scan status

Auf der Mondoo-Plattformkonsole können Sie einen allgemeinen Überblick über den Scanstatus jeder Richtlinie und Paketschwachstelle sowie über EOL-Daten einsehen. So können Sie beispielsweise überprüfen, ob das System für bekannte Sicherheitsbedrohungen anfällig ist, und sehen, welche Pakete aktualisiert werden müssen, um die besten Sicherheitspraktiken zu gewährleisten.

Letzte Gedanken

Wenn Sie ein Systemadministrator oder Sicherheitsingenieur sind, wissen Sie, wie schwierig es sein kann, mit allen Sicherheitsupdates und Patches Schritt zu halten, die zum Schutz der Vermögenswerte Ihres Unternehmens erforderlich sind. Aber mit der Mondoo-Plattform können Sie viele dieser Aufgaben automatisieren und so den Überblick über Ihre Sicherheit behalten. Außerdem haben Sie Zugang zu einer Community von gleichgesinnten Fachleuten, die Ihnen bei der Problembehandlung helfen und Tipps teilen können.

Verschwenden Sie keine Zeit mehr mit manuellen Updates und veralteten Sicherheitsprotokollen. Testen Sie Mondoo und sehen Sie, wie einfach Sicherheit sein kann!

Tim Smith

Tim Smith ist Produktmanager bei Mondoo. Er arbeitet seit 2007 in den Bereichen Webbetrieb und Softwareentwicklung und seit 1994 in der Portscan-Klasse As. Er lud seine erste Linux-Distribution auf ein 14.4-Modem herunter. Tim hatte zuletzt Positionen bei Limelight Networks, Cozy Co und Chef Software inne.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands