lsmlinux

‘壹’ Linux系统内核首次加入锁定功能

Linux之父林纳斯·托瓦兹（Linus Torvalds）上周六宣布在新版Linux系统内核中首次加入锁定功能。

这项名为“lockdown”的Linux内核新安全功能将作为LSM（Linux安全模块）出现在即将发布的Linux 5.4版本当中。

该功能默认情况下处于关闭状态，由于存在破坏现有系统的风险，因此用户可选使用。这项新功能的主要目的是通过防止root帐户与内核代码进行交互来加强用户态进程与内核代码之间的鸿沟。

启用后，新的“锁定”功能将限制Linux某些内核功能，即使对于root用户也是如此，这使得受到破坏的root帐户更难于破坏其余的系统内核。

托瓦兹表示：“启用后，各种内核功能都受到限制。 ” 这包括限制对内核功能的访问，这些功能可能允许通过用户级进程提供的代码执行任意代码；阻止进程写入或读取/ dev / mem和/ dev / kmem内存；阻止对打开/ dev / port的访问，以防止原始端口访问；加强内核模块签名等。

Linux是一种自由和开放源码的类UNIX 操作系统。该操作系统的内核由林纳斯·托瓦兹在1991年10月5日首次发布。在加上用户空间的应用程序之后，成为 Linux 操作系统。Linux也是最着名的自由软件和开放源代码软件。只要遵循GNU 通用公共许可证（GPL），任何个人和机构都可以自由地使用Linux 的所有底层源代码，也可以自由地修改和再发布。

‘贰’ 什么是容器运行时 | Linux 中国

深入了解容器运行时，容器环境构建的核心机制。

容器运行时负责容器的创建与管理，它在后台执行podman run或docker run命令时，发挥关键作用。涉及容器运行时的实例包括runc、lxc、containerd、rkt、cri-o等，它们为不同需求而生。

容器运行时主要关注于容器的运行，包括命名空间和控制组（cgroup）的设置，被称为底层容器运行时。而容器引擎则侧重于容器的格式、解包、管理与镜像共享，为开发者提供API接口。

开放容器计划（OCI）是一个Linux基金会项目，旨在设计容器运行时与镜像格式的开放标准。成立于2015年6月，由Docker、rkt、CoreOS等业界领导者共同创建。

OCI通过两个规范实现目标：镜像规范与运行时规范。镜像规范旨在创建可互操作的工具，用于构建、传输和准备运行的容器镜像。而运行时规范则定义容器的配置、执行环境与生命周期。

镜像规范的高层组件包括镜像格式和工具接口，确保不同工具间的互操作性。运行时规范则详细定义了容器配置、执行环境与生命周期操作，确保应用在不同环境中保持一致。

Linux容器规范利用内核特性如命名空间、控制组、权限、LSM与文件系统隔离，实现容器的高效运行与管理。

容器运行时通过OCI规范管理，提供一致性和互操作性，对于容器使用者而言，无需深入了解其内部机制，但在故障排除或性能优化时，了解容器运行时能带来巨大优势。

本文改编自techbeatly的文章，经授权翻译。原文发表于opensource.com。

作者：Nived V 选题：lujun9972 译者：geekpi 校对：turbokernel

本文由LCTT原创编译，Linux中国荣誉推出

via: opensource.com/article/...