Rocky Linux ввёл в строй репозиторий с пакетами для усиления безопасности

Разработчики дистрибутива Rocky Linux, нацеленного на создание свободной сборки RHEL, способной занять место классического CentOS, объявили о создании новой SIG-группы (Special Interest Group) Security, которая будет заниматься сопровождением пакетов, связанных с предоставлением расширенной защиты и поставкой дополнительных инструментов для обеспечения безопасности. Группа также будет публиковать альтернативные варианты существующих пакетов, собранных с включением различных механизмов для повышения безопасности или устраняющих уязвимости, которые остаются неисправленными в RHEL и CentOS Stream.

Развиваемые наработки будут публиковаться в отдельном репозитории, который также можно будет использовать в других дистрибутивах, совместимых с red Hat Enterprise Linux. Для подключения репозитория в Rocky Linux уже можно использовать команду “dnf install rocky-release-security”.
В настоящее время в репозитории предложены следующие пакеты:

  • Модуль ядра LKRG (Linux Kernel Runtime Guard), предназначенным для выявления и блокирования атак и нарушений целостности структур ядра (например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов). Пакет собран для веток RHEL8 и RHEL9.
  • Инструментарий passwdqc для контроля сложности паролей и парольных фраз, включающий модуль pam_passwdqc, программы pwqcheck, pwqfilter и pwqgen, а также библиотеку libpasswdqc. Пакет собран для ветки RHEL9.
  • Пакет с Glibc, включающий изменения для усиления безопасности, разработанные проектом Owl и применяемые в ALT Linux. Пакет также включает исправления для блокирования двух уязвимостей: уязвимости в ld.so (CVE-2023-4911), позволяющей локальному пользователю поднять свои привилегии в системе через указание специально оформленных данных в переменной окружения GLIBC_TUNABLES, и уязвимости (CVE-2023-4527) в функции getaddrinfo, которая может привести к утечке данных из стека или аварийному завершению. Пакет собран для ветки RHEL9.
  • Пакет с OpenSSH, в котором sshd связан с меньшим числом разделяемых библиотек. Пакет собран для ветки RHEL9.
Release. Ссылка here.