El ingeniero canónico John Johansen envió hoy la solicitud de extracción de AppArmor para la ventana de fusión de Linux 6.17 que contiene muchos cambios para este módulo de seguridad del kernel de Linux.
La característica principal de los cambios de AppArmor presentados para Linux 6.17 es el soporte de mediación de AF_UNIX después de que Ubuntu hubiera estado llevando parches similares durante años. John Johansen explicó en la solicitud de extracción:
“Esta PR tiene una característica importante: incorpora una versión mejorada de la mediación af_unix que Ubuntu ha estado ofreciendo durante años. Se coloca detrás de una nueva abi para garantizar que cause regresiones de políticas. Al incorporar la mediación af_unix, se han realizado limpiezas y algunas refactorizaciones de la mediación del socket de red. Esto explica la mayoría de los cambios en la diferencia.
Además, hay algunas mejoras que proporcionan optimizaciones de código menores, varias limpiezas de código y correcciones de errores“
Con una mediación AF_UNIX detallada en AppArmor, permite controles basados en el tipo (abstracto, anónimo, fs), la dirección y el etiquetado en el socket. Más detalles dentro este parche.
La aplicación Armor solicitud de extracción También tiene una serie de mejoras de impresión de depuración, correcciones de errores y otras mejoras:
+ Características
– mejorar la impresión de depuración
– realizar verificación de mediación en la etiqueta (optimización)
– mejorar la capacidad del compilador para optimizar __begin_current_label_crit_section
– transición de una lista enlazada de conjuntos de reglas a un vector de conjuntos de reglas
– no codifique la señal del perfil, permita que se configure según la política
– capacidad de mediar límites a través de la máquina de estados en lugar de lut
– Agregue la mediación af_unix de Ubuntu y colóquela detrás de la nueva abi v9
+ Limpiaciones
– corregir errores tipográficos y ortográficos
– Limpiar inconsistencias en la documentación y el código del kernel
– eliminar comprobaciones/códigos redundantes
– eliminar variables no utilizadas
– Utilice la función auxiliar str_yes_no()
– marcar tablas estáticas cuando corresponda
– hacer que todos los encabezados de matriz de cadenas generados sean const char *const
– refactorizar a la semántica doc de las comprobaciones file_perm
– reemplazar las llamadas macro a redes/socket fns con llamadas explícitas
– refactorizar/limpiar el código de mediación de sockets preparándolo para una mediación más detallada de diferentes familias de redes
– varias actualizaciones de los comentarios de la documentación del kernel
+ Corrección de errores
– apparmor: Corregir perfil incorrecto->verificación de rango de señal
– correcciones de montaje de idmap
– política descomprimir correcciones de acceso no alineado
– kfree_sensitive() cuando corresponda
– Arreglar errores al liberar la política
– corregir la resolución de archivos adjuntos conflictivos
– corrija las búsquedas en la tabla ejecutiva cuando el apilamiento no sea lo primero
– arreglar la auditoría ejecutiva
– mitigar el espacio de usuario generando archivos xtables demasiado grandes
Fuente: phoronix