lsmlinux

『壹』 Linux系統內核首次加入鎖定功能

Linux之父林納斯·托瓦茲（Linus Torvalds）上周六宣布在新版Linux系統內核中首次加入鎖定功能。

這項名為「lockdown」的Linux內核新安全功能將作為LSM（Linux安全模塊）出現在即將發布的Linux 5.4版本當中。

該功能默認情況下處於關閉狀態，由於存在破壞現有系統的風險，因此用戶可選使用。這項新功能的主要目的是通過防止root帳戶與內核代碼進行交互來加強用戶態進程與內核代碼之間的鴻溝。

啟用後，新的「鎖定」功能將限制Linux某些內核功能，即使對於root用戶也是如此，這使得受到破壞的root帳戶更難於破壞其餘的系統內核。

托瓦茲表示：「啟用後，各種內核功能都受到限制。 」 這包括限制對內核功能的訪問，這些功能可能允許通過用戶級進程提供的代碼執行任意代碼；阻止進程寫入或讀取/ dev / mem和/ dev / kmem內存；阻止對打開/ dev / port的訪問，以防止原始埠訪問；加強內核模塊簽名等。

Linux是一種自由和開放源碼的類UNIX 操作系統。該操作系統的內核由林納斯·托瓦茲在1991年10月5日首次發布。在加上用戶空間的應用程序之後，成為 Linux 操作系統。Linux也是最著名的自由軟體和開放源代碼軟體。只要遵循GNU 通用公共許可證（GPL），任何個人和機構都可以自由地使用Linux 的所有底層源代碼，也可以自由地修改和再發布。

『貳』 什麼是容器運行時 | Linux 中國

深入了解容器運行時，容器環境構建的核心機制。

容器運行時負責容器的創建與管理，它在後台執行podman run或docker run命令時，發揮關鍵作用。涉及容器運行時的實例包括runc、lxc、containerd、rkt、cri-o等，它們為不同需求而生。

容器運行時主要關注於容器的運行，包括命名空間和控制組（cgroup）的設置，被稱為底層容器運行時。而容器引擎則側重於容器的格式、解包、管理與鏡像共享，為開發者提供API介面。

開放容器計劃（OCI）是一個Linux基金會項目，旨在設計容器運行時與鏡像格式的開放標准。成立於2015年6月，由Docker、rkt、CoreOS等業界領導者共同創建。

OCI通過兩個規范實現目標：鏡像規范與運行時規范。鏡像規范旨在創建可互操作的工具，用於構建、傳輸和准備運行的容器鏡像。而運行時規范則定義容器的配置、執行環境與生命周期。

鏡像規范的高層組件包括鏡像格式和工具介面，確保不同工具間的互操作性。運行時規范則詳細定義了容器配置、執行環境與生命周期操作，確保應用在不同環境中保持一致。

Linux容器規范利用內核特性如命名空間、控制組、許可權、LSM與文件系統隔離，實現容器的高效運行與管理。

容器運行時通過OCI規范管理，提供一致性和互操作性，對於容器使用者而言，無需深入了解其內部機制，但在故障排除或性能優化時，了解容器運行時能帶來巨大優勢。

本文改編自techbeatly的文章，經授權翻譯。原文發表於opensource.com。

作者：Nived V 選題：lujun9972 譯者：geekpi 校對：turbokernel

本文由LCTT原創編譯，Linux中國榮譽推出

via: opensource.com/article/...