우분투 리눅스 23.10은 중요한 새로운 보안 기능을 추가하고 있습니다.
우분투 리눅스 23.10에는 중요한 새로운 보안 기능이 추가되고 있습니다.
2023년 10월 12일, Canonical은 Ubuntu 23.10을 출시할 예정입니다. 이 새로운 우분투 리눅스 버전은 이미 좋은 결과를 보이고 있습니다. 그러나 하나의 새로운 보안 기능은 많은 주목을 받지 못했습니다: 제한적인 비권한 사용자 네임스페이스입니다. 이 기능은 리눅스 데스크톱 및 컨테이너 보안을 크게 개선할 수 있는 잠재력을 가지고 있습니다.
하지만, “제한적인 비권한 사용자 네임스페이스”가 무엇인지 궁금하시다고요? 그래요, 그럼 “비권한 사용자 네임스페이스”가 무엇인지부터 설명드릴게요. 이것은 2019년에 Linux 3.8 커널에서 도입된 리눅스 커널 기능입니다. 이 기능은 리눅스 권한 사용자 모델에 의해 일으키는 보안 문제를 피하기 위해 도입되었습니다. 이 모델은 사용자를 두 그룹으로 나누는데요: 일반 사용자와 슈퍼 사용자, 즉 루트 사용자입니다. 문제는 슈퍼 사용자로 작업할 때 제한이 없다는 것입니다. 시스템을 내부부터 파괴해도 돼요. 네, 그래도 문제 없어요.
또한: 최고의 VPN 서비스 (그리고 당신에게 맞는 선택하는 방법)
이 모델에서 이 문제를 해결하는 방법은 있지만, 비권한 사용자 네임스페이스는 일반 사용자가 마스터 리눅스 시스템에서 루트가 아닌 상태로 작업할 수 있는 컨테이너 내에서 슈퍼 사용자로 작업할 수 있도록 설정하여 보안을 강화하기 위한 시도였습니다.
그러나, 만약 해커가 컨테이너 내에서 루트 권한을 얻는다면, 호스트 시스템에서 탈출하여 큰 피해를 입힐 수도 있습니다. 어머나!
- 지금 바로 30달러에 Windows 11 Pro 라이선스를 구매하세요.
- 포토샵의 AI 기술이 나를 감동시켰으며, 이제 그들은 성능을 향상시키고...
- 다가오는 iPad Mini 7은 여전히 120Hz ProMotion 디스플레이가 없다는 ...
비권한 사용자 네임스페이스는 양날의 검이 되었습니다. 안전한 응용 프로그램 샌드박스를 생성하고 setuid 및 setguid 프로그램을 대체하는 데에 중요한 역할을 하지만, 미궁 사용자에게 커널 인터페이스를 노출시켜 잠재적인 보안 취약점을 야기하기도 합니다. 이러한 네임스페이스는 여러 권한 상승 공격 체인에 관련되어 있습니다.
또한: 새로 발견된 Android 악성 코드가 수천 대의 장치에서 감염되었습니다
Ubuntu 23.10은 이 문제에 대처하기 위해 적극적인 조치를 취하고 있습니다. 새로운 버전에는 AppArmor 정책에 의해 제어되고 조절되는 제한된 비권한 사용자 네임스페이스가 포함됩니다. 이 선택적 접근 방식은 권한이 있는 응용 프로그램만 이 네임스페이스에 접근하고 활용할 수 있도록 하는 것으로, 관련된 보안 위험을 크게 줄이는 역할을 하고 있습니다.
AppArmor은 리눅스 커널 보안 모듈입니다. 시스템 관리자들은 이를 통해 프로그램의 기능을 제한할 수 있습니다. 이 모듈은 표준 Unix/Linux 강제 액세스 제어 (MAC) 권한과 함께 작동합니다. AppArmor은 2007년에 등장한 우분투 리눅스에 내장되어 있으며, SUSE Linux 패밀리에서도 사용됩니다.
이 경우, AppArmor을 사용하여 일반 사용자 네임스페이스의 허용과 거부를 응용 프로그램별로 선택적으로 설정할 수 있습니다. Canonical은 Chrome, Firefox 및 Thunderbird와 같은 인기 프로그램을 위한 사전 빌드된 AppArmor 정책을 제공할 예정입니다.
또한: 새로운 리눅스 사용자도 OS 보안을 개선할 수 있는 7가지 방법
Canonical이 사용자 피드백을 수집하면서 더 많은 앱에 대한 AppArmor 프로필을 작성할 것입니다. 이 향상된 보안 기능은 초기에 선택적으로 사용할 수 있습니다. 쉘을 통해 이를 활성화할 수 있습니다.
이 기능을 켜려면 다음 명령을 쉘에서 사용하세요:
$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=1$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=1
그리고 이를 비활성화하려면 다음 두 개의 명령을 실행하세요:
$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_unconfined=0$ sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0
Ubuntu는 이 보안 기능을 운영 체제의 기본 기능으로 통합하기 전에 사용자의 피드백을 수집하여 이를 개선하고 최적화하는 데 특히 관심이 있습니다.
이후, 이 기능이 완벽하게 개발될 때 23.10 버전에서 Stable Release Updates (SRU)를 통해 기본적으로 활성화될 것으로 예상됩니다. 잘 작동되면 모든 Ubuntu 버전에 기본적으로 적용될 것으로 예상됩니다.
이 기능은 Ubuntu 23.10에만 적용되며 이전 버전 사용자에게는 영향을 주지 않습니다. 이는 Ubuntu가 계속해서 보안 시스템을 향상시키고 사용자 경험을 중요시하면서도 경계할 수 있는 사이버 보안 위협에 대비하기 위한 중요한 단계를 나타냅니다.
