Docker: LinuxKit per migliorare la sicurezza del kernel

by Matteo Cappadonna on

Tra i vari annunci fatti all'ultimo DockerCon, uno di quelli che ha spiccato particolarmente è stato l'annuncio di LinuxKit.

Per chi si fosse perso la novità, LinuxKit è un toolkit che permette di generare distribuzioni Linux minimali per l'esecuzione di container Docker, con specifiche decisamente interessanti, tra cui il fatto di essere totalmente stateless (la "distribuzione" è fissa e viene "resettata" ad ogni avvio, con la possibilità di agganciare storage esterno per la persistenza dei dati), o la possibilità di essere utilizzate come base per sistemi di orchestrazione (come Swarm o Kubernetes).

In un'intervista rilasciata da Nathan McCauley (direttore della sicurezza di Docker Inc.) a eWEEK, è stato sottolineato quanto le migliorie che, mano a mano, si stanno integrando in LinuxKit andranno a beneficio di tutti gli utenti Linux:

Security is critically important for Docker, and LinuxKit represents an opportunity for us to help move security forward... Docker and the LinuxKit project are also focused on making sure that all the Linux kernel security work moves upstream into the mainline Linux kernel

La sicurezza è di importanza critica per Docker, e LinuxKit rappresenta un opportunità per noi di aiutare a fare passi avanti alla stessa... Docker ed il progetto LinuxKit hanno anche l'obiettivo di assicurarsi che tutto il lavoro sulla sicurezza del kernel Linux sia spostato nel kernel Linux upstream

Quindi, a quanto pare potranno beneficiarne tutti quanti, anche chi non lavora con i container. Ma di cosa stiamo parlando per quanto riguarda la sicurezza che stanno "aggiungendo" nel kernel? Beh, alcuni dei progetti più interessanti sono:

  • Wireguard VPN: questa nuova tecnologia VPN per Linux utilizza lo stesso principio di crittografia presente dietro -ad esempio- ad applicazioni come WhatsApp. Utilizzando il Noise Protocol Framework, è possibile fornire una VPN estremamente leggera e sicura.
  • Kernel Self Protection: il progetto KSPP, creato da uno sviluppatore Google, è un sistema che aggiunge uno strato di sicurezza al kernel Linux, andando a lavorare su diverse ottimizzazioni dello stesso.
  • Landlock: si propone come "alternativa" ai Linux Security Modules più popolari (SELinux e AppArmor); utilizza alla base i Berkley Packet Filters (eBPFs) per agganciare piccoli software direttamente nel kernel Linux. Questi permettono di aggiungere "contesti" al kernel che forniscono una struttura molto robusta per definire cosa fare o no. La cosa interessante è che Landlock è comunque utilizzabile sopra SELinux o AppArmor, andando a definire un ulteriore strato di sicurezza.

Tanto lavoro c'è in ballo e molto potrebbe "ritornare" nel kernel Linux, e questa non può che essere un'ottima notizia.

Leggi il contenuto originale su Mia mamma usa Linux!

Written by: Matteo Cappadonna