Phoronix 報道稱:Fedora 36 有望支持 Linux 內核的 fs-verity 代碼,從而允許圍繞 RPM 軟件包的一些有趣的完整性(Integrity)和真實性(Authenticity)用例。具體說來是,該內核功能模塊為只讀文件提供了真實性保護,以便位於受支持文件系統上的內容,可被透明地驗明它們的完整性和真實性。
(來自:Fedora Wiki)
FS-VERITY 還允許給特定文件構建 Merkle 樹,將其與文件持久化,然後就可以根據 Merkle 樹來驗證文件。
這麼做的好處是允許檢測損壞的文件(無論是意外發生、還是遭遇了惡意性質的篡改),以及文件審計和其它類似的安全用例。
目前一支 Facebook(公司已更名為 Meta)工程師團隊正在帶頭使用 fs-verity 來驗證已安裝的 RPM 文件,且相關更改對用戶來說是透明的。
此外只有在安裝 fs-verity 驗證的 RPM 插件時,附加驗證功能才會處於活動狀態。從安全角度來看,這項變更是相當有趣的。
不過從 Merkle 樹生成、簽名開銷等成本方面來考量,這項工作的後續走向,仍取決於 Fedora 工程指導委員會的評估。
如果一切順利,我們有望於 2022 年春季(預計 4 月下旬)發布的 Fedora 36 版本中,正式迎來這項功能的支持。