CLOUD技术笔记Ubuntu 22.04 LTS(Jammy Jellyfish)相较于20.04 LTS(Focal Fossa)在安全方面引入了多项重要改进和新增特性,主要包括:
1. 内核与底层安全增强
- 默认启用内核完整性保护:22.04 默认开启
LOCKDOWN模块(integrity模式),限制内核级代码修改,防止恶意 root 进程篡改内核。 - 更新至 Linux 内核 5.15+:支持更多安全特性,如:
- Clang 控制流完整性(CFI):缓解面向返回编程(ROP)攻击。
- 内存保护改进:包括
init_on_alloc默认启用,减少未初始化内存漏洞风险。
- 硬件安全支持:
- 增强对 AMD SEV-SNP 和 Intel TDX(信任域扩展)的支持,提升虚拟机隔离安全性。
- 改进 UEFI 安全启动 与 TPM 2.0 集成。
2. 软件供应链安全
- 默认使用 OpenSSL 3.0:
- 提供 FIPS 140-3 兼容性。
- 支持新加密算法(如 SHA-3、EdDSA),淘汰弱算法(如 MD5、DES)。
- APT 包管理器安全增强:
- 更严格的签名验证流程。
- 支持
by-hash索引下载,防止哈希碰撞攻击。
- Snap 包默认加固:
- 所有预装 Snap 应用启用严格模式(Strict Mode),强制沙盒隔离。
3. 权限与访问控制
- Polkit 默认行为变更:
- 禁止非特权用户调用特权服务(如
systemd-logind),缓解 CVE-2021-3560 类漏洞。
- 禁止非特权用户调用特权服务(如
- AppArmor 3.0 更新:
- 支持网络规则和文件挂载控制,强化容器与沙盒隔离。
- Firewalld 替代 UFW 作为可选默认:
- 提供更动态的防火墙管理(需手动启用)。
4. 加密与身份验证
- OpenSSH 8.9+ 默认配置:
- 禁用 RSA-SHA1 签名算法,转向更安全的 Ed25519 和 ECDSA。
- FIDO2/WebAuthn 支持:
- 系统级支持硬件安全密钥登录(如 YubiKey),包括 SSH 和 PAM 模块。
- 全磁盘加密(FDE)改进:
- 安装器支持 TPM 2.0 自动解锁 LUKS2 加密分区(仅限桌面版)。
5. 容器与虚拟化安全
- 默认使用 containerd 替代 Docker:
- 更轻量、安全的容器运行时,集成
nerdctl工具。
- 更轻量、安全的容器运行时,集成
- MicroK8s 与 Kubernetes 增强:
- 默认启用 RBAC 和 Pod 安全策略(PSP)。
- QEMU/KVM 虚拟化:
- 支持 virtiofs 文件系统,替代传统的 9p 协议,提升共享目录安全性。
6. 漏洞缓解与运行时防护
- GCC 11 默认启用更多加固选项:
- 包括
-D_FORTIFY_SOURCE=3(增强缓冲区溢出检测)和-fstack-clash-protection。
- 包括
- Python 3.10 安全改进:
- 默认拒绝 HTTPS 证书中通配符子域匹配(如
*.com)。
- 默认拒绝 HTTPS 证书中通配符子域匹配(如
- Systemd 250+ 更新:
- 服务单元支持
MemoryDenyWriteExecute和RestrictSUIDSGID,限制内存与文件权限。
- 服务单元支持
7. 安全工具与审计
- 默认安装
tpm2-tools:- 便于 TPM 2.0 芯片管理与密钥操作。
- Auditd 增强:
- 支持容器环境审计事件跟踪。
- 新增
fwupd版本:- 支持更多设备的固件安全更新(如 Thunderbolt 硬件)。
8. 隐私保护
- GNOME 42 隐私控制:
- 细化应用权限管理(如摄像头、麦克风访问提示)。
- 默认启用 Wayland 显示协议:
- 替代 X11,提供进程间图形隔离,防止键盘/屏幕窃听。
总结
Ubuntu 22.04 在安全设计上更注重 硬件集成、供应链完整性 和 运行时防护,尤其强化了针对云原生场景的隔离能力。对于企业用户,建议结合 Ubuntu Pro(免费用于最多5台机器)获取额外10年的安全补丁和合规工具(如 CIS 基准配置)。升级时需注意部分变更(如 OpenSSL 3.0)可能导致旧版软件兼容性问题,建议提前测试。
