Ubuntu 26.04 LTS є одним з наших найбільш безпечно розроблених версій LTS. Замість того, щоб просто додавати функції, Ubuntu 26.04 LTS зміцнила безпеку на всіх рівнях системи одночасно, підвищивши безпеку без порушення розгортання або вимог до ручного втручання. Зосередившись на основах безпеки, ми змогли зміцнити безпеку Ubuntu новими способами. У цій статті ми розглянемо нові функції безпеки в Ubuntu 26.04 LTS, включаючи:

• Шифрування з апаратною підтримкою, яке насправді готове до виробництва
• Криптографічні налаштування, які підготовлені до пост-квантового захисту
• Корпоративна підтримка всіх провідних технологій конфіденційного обчислення як для гостьових, так і для хостингових інфраструктур
• Веб-сервери, які відхиляють застаріле TLS
• Продовження зусиль щодо “оксидування” елементів, вимогливих до безпеки, та створення безпечних реалізацій rust-coreutils і sudo-rs за замовчуванням.
• Служби ідентифікації, які відмовляються працювати від імені root
• Посилене програмне забезпечення та безпечний завантажувач
• Керуюча система, яка робить все це видимим, керованим і перевіряємим навіть після розгортання

Ubuntu 26.04 LTS встановлює суттєво вищу базову безпеку для наступного десятиліття розгортання Linux для робочих станцій, серверів, конфіденційних віртуальних машин, хмарних зображень та крайових систем. Для організацій, які стандартизують на Ubuntu як на безпечній основі, це реліз, на якому вони хочуть будувати.

Безпека більше не лише під час установки: Центр безпеки стає керуючою системою

Історично важливі рішення безпеки (такі як шифрування дисків чи статус безпечного завантаження) приймалися під час установки і рідко переглядалися. Ubuntu 26.04 LTS змінює це.

Центр безпеки тепер виводить критичні платформи захисту в такому вигляді, що їх можна перевіряти і керувати ними після розгортання. Адміністратори можуть переглядати та управляти:

• Станом шифрування TPM-підтвердженого диска
• Механізмами відновлення
• Статусом Безпечного завантаження
• Конфігурацією захисту диска

Це зміна філософії, де безпека не є прапорцем під час установки. Вона є відповідальністю протягом життєвого циклу. Ubuntu 26.04 LTS робить цю відповідальність видимою і дієвою. Для керованих робочих станцій і підприємств це зменшує «сліпі плями» і підвищує аудит.

TPM-підтверджене шифрування диска готове до реального розгортання

TPM-підтверджене шифрування диска стає загальнодоступним з Ubuntu 26.04 LTS. Ми вже представили цю можливість в попередніх релізах, за експериментальним прапором, а з Ubuntu 26.04 LTS ми робимо її надійною і готовою до використання в підприємствах. Робота в цьому релізі зосереджена на критичних аспектах для виробництв:

• Обробка ключів відновлення під час оновлення прошивки є передбачуваною та доступною до потенційного перезавантаження
• Відомі несумісності, такі як Absolute/Computrace, чітко задокументовані
• Вимоги до модулів ядра для певних конфігурацій зберігання чітко визначені

Ось що виглядає як готовність до виробництва: менше невизначених станів, менше несподіванок під час оновлень і зрозуміліші апаратні межі. З цим, шифрування з апаратною підтримкою перестає бути експериментальним, в Ubuntu 26.04 LTS це основний механізм безпеки.

Конфіденційне обчислення: підтримка хостів і гостей для SEV-SNP і TDX

Ubuntu 26.04 LTS постачається з повною інтегрованою підтримкою як для хостів, так і для гостей для AMD SEV-SNP та Intel TDX, двох технологій, які визначають майбутнє конфіденційної хмарної інфраструктури.

Це можливість з великим потенціалом, адже ви тепер можете запускати віртуальні машини, пам’ять яких шифрується та захищається безпечністю самої ЦП.

Інші дистрибутиви пропонують лише частини цього. Натомість, Ubuntu 26.04 LTS надає весь стек: ядро, прошивку та інструменти, інтегровані та готові до розгортання. Для публічних постачальників хмар, регульованих галузей, AI навантажень та всіх, хто серйозно ставиться до суверенітету даних, Ubuntu пропонує всебічну платформу для конфіденційного обчислення.

Посилення безпеки з основами, що забезпечують пам’ять

Ubuntu 26.04 LTS продовжує зусилля Canonical щодо посилення системи шляхом “оксидування” вимогливих до безпеки компонентів, замінюючи застарілі реалізації на безпечні альтернативи, написані в Rust, коли вони є достатньо зрілими. Цей перехід проходить поетапно, з перших перевірених інструментів у проміжних релізах, перш ніж їх буде затверджено в LTS, після того, як вони відповідають строгим критеріям готовності.

У цьому релізі rust-coreutils забезпечує основні утиліти системи, а sudo-rs стає стандартною реалізацією sudo, тоді як традиційні GNU coreutils та оригінальне sudo залишаються доступними для сумісності та резерву.

Сучасна криптографія за замовчуванням

Ubuntu 26.04 LTS постачається з OpenSSH 10.2 та триває усунення застарілої криптографії, разом з оновленнями ширшої криптографічної стек системи (включно з OpenSSL).

Ключові зміни включають:

• Гібридний пост-квантовий обмін ключами (mlkem768x25519-sha256) доступний за замовчуванням
• Повне усунення підтримки DSA
• DSA ключі хостів більше не генеруються
• SSH-сервер більше не читає ~/.pam_environment, що зменшує ризики впровадження середовища

Не потрібен перемикач для міграції, щоб скористатися сучасним обміном ключами. Ці функції тепер є за замовчуванням.

Послуги ідентифікації та каталогу працюють з меншими привілеями

Деякі з найзначніших змін безпеки в Ubuntu 26.04 LTS не видно на скріншотах, вони видні в таблицях процесів.

• SSSD тепер працює як виділений користувач sssd замість root
• OpenLDAP працює в режимі посилення AppArmor
• Конфігурація хешування паролів в OpenLDAP покращена з налаштуванням ітерацій PBKDF2

Крім того, Ubuntu 26.04 LTS вводить authd як підтримувану аутентифікаційну платформу, що дозволяє інтеграцію з постачальниками ідентифікації в хмарі, використовуючи сучасні стандарти, такі як OpenID Connect.

Це дозволяє системам Ubuntu, як на робочому столі, так і на сервері, впроваджувати сучасні методи аутентифікації, включаючи багатофакторну аутентифікацію (MFA) та умовні політики доступу, узгоджені з підприємницькими платформами ідентифікації.

Служби ідентифікації є високоякісними цілями. Запуск їх з обмеженими привілеями та посиленим обмеженням значно зменшує ризик у разі компрометації.

Безпечний завантажувач та посилення прошивки

Ubuntu 26.04 LTS оновлює компоненти прошивки та посилює статус Безпечного завантаження:

• NX (No-Execute) увімкнено для всіх варіантів безпечного завантаження
• Усунено варіант legacy strictnx на користь консолідованих посилених збірок
• Пакети прошивки OVMF узгоджені з технологіями безпеки віртуалізації, такими як AMD SEV та Intel TDX

Цілісність завантаження є основоположною. Посилення на цьому рівні зміцнює ланцюг довіри від прошивки до простору користувача.

Оновлення вебу та TLS за замовчуванням

Ubuntu 26.04 LTS оновлює свій основний стек вебу, продовжуючи довгостроковий рух дистрибуції від застарілого TLS. Вона постачається з Apache 2.4.66 і Nginx 1.28.2, і узгоджує їх упаковані налаштування з сучасними стандартами безпеки: Apache відключає TLS 1.0 і 1.1 за замовчуванням, а Nginx за замовчуванням переходить на TLS 1.2 і TLS 1.3.

Ця зміна базується на посиленні TLS, представленому в попередніх випусках LTS, забезпечуючи, щоб як основні крипто-бібліотеки, так і конфігурації веб-серверів з коробки постійно відповідали RFC 8996, який застарів TLS 1.0 і 1.1.

Сучасне ядро та бази контейнерів

Ubuntu 26.04 LTS узгоджується з сучасним базовим ядром Linux версії 7.0 та останніми контейнерними виконаннями. Зміни, які мають значення для безпеки, включають:

• Узгоджені параметри монтування cgroup (nsdelegate, memory_recursiveprot, memory_hugetlb_accounting)
• Оновлений стек контейнерів:
  • containerd 2.2.1
  • runc 1.4.0
  • docker.io 29 з підтримкою nftables і параметрами за замовчуванням для зберігання образів containerd

Це гарантує, що семантика ізоляції та межі контейнерів побудовані на сучасному субстраті. Це особливо важливо для навантажень, орієнтованих на хмари.

Еволюція конфінування програм з AppArmor

Ubuntu продовжує зміцнювати ізоляцію програм через постійні вдосконалення AppArmor, системи обов’язкового керування доступом. Основна сфера розвитку – це запит на дозволи для використання користувачами для встановлених додатків, покликаний забезпечити більш детальний та прозорий контроль над тим, як програми отримують доступ до чутливих системних ресурсів, таких як файли, пристрої та мережеві інтерфейси.

Зробивши ці рішення про доступ більш видимими і чіткими, запити AppArmor мають на меті підвищити як безпеку, так і обізнаність користувачів про поведінку програм. Ця можливість доступна як експериментальна функція і ще не є частиною стандартної безпекової політики в Ubuntu 26.04 LTS, відображаючи ширший напрямок до більшої ізоляції програм в майбутніх випусках Ubuntu.

Що робить Ubuntu 26.04 LTS сильним

ВипускиUbuntu LTS визначають базу безпеки, на основі якої підприємства, уряди, постачальники хмар і виробники пристроїв будують протягом років. Ubuntu 26.04 LTS не є винятком.

Протягом кількох останніх циклів Ubuntu перебудовує свою модель безпеки з нуля: модернізує криптографію, закріплює довіру в апаратному забезпеченні, знижує привілеї для основних служб і переносить безпеку із установника на поверхні, де її можна насправді керувати.

З Ubuntu 26.04 LTS ці зміни стають новою нормою. Розгорніть його з упевненістю.