Phoronix 报道称:Fedora 36 有望支持 Linux 内核的 fs-verity 代码,从而允许围绕 RPM 软件包的一些有趣的完整性(Integrity)和真实性(Authenticity)用例。具体说来是,该内核功能模块为只读文件提供了真实性保护,以便位于受支持文件系统上的内容,可被透明地验明它们的完整性和真实性。
(来自:Fedora Wiki)
FS-VERITY 还允许给特定文件构建 Merkle 树,将其与文件持久化,然后就可以根据 Merkle 树来验证文件。
这么做的好处是允许检测损坏的文件(无论是意外发生、还是遭遇了恶意性质的篡改),以及文件审计和其它类似的安全用例。
目前一支 Facebook(公司已更名为 Meta)工程师团队正在带头使用 fs-verity 来验证已安装的 RPM 文件,且相关更改对用户来说是透明的。
此外只有在安装 fs-verity 验证的 RPM 插件时,附加验证功能才会处于活动状态。从安全角度来看,这项变更是相当有趣的。
不过从 Merkle 树生成、签名开销等成本方面来考量,这项工作的后续走向,仍取决于 Fedora 工程指导委员会的评估。
如果一切顺利,我们有望于 2022 年春季(预计 4 月下旬)发布的 Fedora 36 版本中,正式迎来这项功能的支持。