Ubuntu 26.04 LTS є однією з найнадійніше спроектованих LTS-версій. Замість простого додавання функцій, Ubuntu 26.04 LTS зміцнює безпеку по всіх рівнях системи одночасно, підвищуючи її загальний рівень безпеки без ризику зламу, без необхідності ручного втручання. Фокусуючись на основних аспектах безпеки, за замовчуванням, ми змогли зміцнити безпеку Ubuntu новими способами. У цій статті ми розглянемо новинки в сфері безпеки для Ubuntu 26.04 LTS, зокрема:

• Апаратура для шифрування, готова до використання на виробництві
• Криптографічні параметри, що враховують постквантові загрози
• Підтримка технологій конфіденційних обчислень для підприємств з обох сторін – гостьової та хостової
• Веб-сервери, що відхиляють застарілий TLS
• Продовження зусиль щодо «окислення» чутливих до безпеки частин і встановлення безпечних реалізацій rust-coreutils та sudo-rs за замовчуванням.
• Служби ідентифікації, що відмовляються виконуватися під root
• Посилене завантажувальне програмне забезпечення та безпечний запуск
• Контрольна платформа, що робить все це видимим, керованим та аудиторованим після розгортання

Ubuntu 26.04 LTS встановлює істотно вищий рівень безпеки за замовчуванням для наступного десятиліття Linux-розгортань на настільних комп’ютерах, серверах, конфіденційних віртуальних машинах, образах в хмарі та системах на краю. Для організацій, що стандартизують на Ubuntu як на безпечній основі, це випуск, на якому вони захочуть будувати.

Центр безпеки стає контрольованою платформою

Історично основні рішення з безпеки (такі як шифрування диска або режим безпечного завантаження) приймалися під час установки та рідко перевірялися. Ubuntu 26.04 LTS змінює це.

Центр безпеки тепер забезпечує критичні захисти платформи в спосіб, що дозволяє їх перевіряти та управляти ними після розгортання. Адміністратори можуть перевіряти та управляти:

• Станом шифрування диска з підтримкою TPM
• Механізмами відновлення
• Статусом безпечного завантаження
• Конфігурацією захисту диска

Це зміна філософії, де безпека не є просто пунктом установки. Це відповідальність у життєвому циклі. Ubuntu 26.04 LTS робить цю відповідальність видимою та дійсною. Для керованих настільних флотів і корпоративних середовищ це зменшує сліпі зони та підвищує можливість аудиту.

Шифрування диска з підтримкою TPM готове до розгортання у реальному світі

Шифрування диска з підтримкою TPM стає загальнодоступним з Ubuntu 26.04 LTS. Раніше ми вже представляли цю можливість в попередніх релізах під експериментальним прапором, а з Ubuntu 26.04 LTS робимо її стабільною та готовою для бізнесу. Робота в цьому випуску зосереджується на важливих для продуктивності режимах:

• Обробка ключів для відновлення під час оновлень прошивки є передбачуваною та доступною перед потенційно небезпечним перезавантаженням
• Відомі несумісності, такі як Absolute/Computrace, чітко задокументовані
• Вимоги до модулів ядра для певної конфігурації зберігання чітко визначені

Саме так виглядає готовність до виробництва: менше непередбачених станів, менше сюрпризів під час оновлень, і чіткіші межі апаратного забезпечення. Завдяки цьому, шифрування на основі апаратури більше не експериментальне; на Ubuntu 26.04 LTS це перший клас засобів безпеки.

Конфіденційні обчислення: підтримка хоста і гостьових систем для SEV-SNP і TDX

Ubuntu 26.04 LTS постачається з повністю інтегрованою підтримкою хоста і гостя для AMD SEV-SNP і Intel TDX, двох технологій, що визначають майбутнє конфіденційної інфраструктури в хмарах.

Це можливість з великим потенціалом, адже тепер ви можете запускати віртуальні машини, пам’ять яких зашифрована та захищена від зловмисників самим процесором.

Інші дистрибутиви пропонують лише частини цього. Натомість, Ubuntu 26.04 LTS надає повний стек: ядро, прошивка та інструменти, інсайдерський ринок і до розгортання. Для постачальників хмарних послуг, регульованих галузей, AI-робочих навантажень та всіх, хто серйозно хоче забезпечити суверенітет даних, Ubuntu пропонує комплексну платформу для конфіденційних обчислень.

Посилення ядра безпеки з безпечними основами пам’яті

Ubuntu 26.04 LTS продовжує цілеспрямовані зусилля Canonical зі зміцнення системи шляхом «окислення» компонентів, чутливих до безпеки, замінюючи старі реалізації на безпечні альтернативи, написані в Rust, коли вони достатньо зрілі. Цей перехід відбувається поетапно, з першочерговою перевіркою основних інструментів у проміжних випусках, перш ніж їх підвищено до LTS, коли вони відповідають суворим критеріям готовності.

У цьому випуску rust-coreutils забезпечує основні утиліти системи, а sudo-rs стає реалізацією за замовчуванням, тоді як традиційні GNU coreutils і оригінальний sudo залишаються доступними для сумісності та резервування.

Сучасна криптографія за замовчуванням

Ubuntu 26.04 LTS постачається з OpenSSH 10.2 і продовжує усунення застарілої криптографії, а також оновлення більш широкого криптографічного стеку системи (включаючи OpenSSL).

Ключові зміни включають:

• Гібридний постквантовий обмін ключами (mlkem768x25519-sha256) доступний за замовчуванням
• Повне видалення підтримки DSA
• Ключі хостів DSA більше не генеруються
• SSH-сервер більше не читає ~/.pam_environment, зменшуючи ризики впровадження середовища

Необхідно лише оновити, щоб скористатися сучасним обміном ключами. Ці функції тепер є за замовчуванням.

Сервіси ідентифікації та каталоги з меншими привілеями

Деякі з найзначніших змін у безпеці в Ubuntu 26.04 LTS не видно на скріншотах, їх видно в таблицях процесів.

• SSSD тепер працює як виділений користувач sssd замість root
• OpenLDAP працює в режимі примусової безпеки AppArmor
• Конфігурація хешування паролів в OpenLDAP покращена з контрольованими ітераціями PBKDF2

Крім того, Ubuntu 26.04 LTS представляє authd як підтримувану аутентифікаційну платформу, що дозволяє інтеграцію з постачальниками ідентичностей у хмарах, використовуючи сучасні стандарти, такі як OpenID Connect.

Це дозволяє системам Ubuntu, як на настільних, так і на серверних платформах, впроваджувати сучасні методи аутентифікації, включаючи багатофакторну аутентифікацію (MFA) та політики умовного доступу, узгоджені з корпоративними ідентичностями.

Сервіси ідентифікації є цінними цілями. Запуск їх з обмеженими привілеями та примусовим контрольованим доступом помітно зменшує масштаби пошкодження в разі компрометації.

Безпечне завантаження та посилення прошивки

Ubuntu 26.04 LTS оновлює компоненти прошивки та посилює режим захищеного завантаження:

• NX (No-Execute) активовано для всіх варіантів Secure Boot
• Застарілий строгий варіант strictnx видалено на користь узагальнених посилених версій
• Пакети прошивки OVMF узгоджені з технологіями безпеки віртуалізації, такими як AMD SEV і Intel TDX

Цілісність завантаження є основоположною. Посилення на цьому рівні підсилює ланцюг довіри від прошивки до користувацького простору.

Веб-сервери і поліпшення TLS

Ubuntu 26.04 LTS оновлює свій основний веб-стек, продовжуючи тривале переміщення дистрибуції від застарілого TLS. Він постачається з Apache 2.4.66 та Nginx 1.28.2, і узгоджує їх стандартні параметри з сучасними стандартами безпеки: Apache за замовчуванням відключає TLS 1.0 та 1.1, а Nginx переходить на TLS 1.2 та TLS 1.3.

Ця зміна спирається на посилення TLS, яке було впроваджено в попередніх LTS-релізах, забезпечуючи, щоб як бібліотеки криптографії, так і конфігурації веб-сервера з коробки постійно відповідали RFC 8996, що забороняє використання TLS 1.0 та 1.1.

Сучасний базовий ядро та контейнери

Ubuntu 26.04 LTS узгоджується з сучасною базою ядра Linux 7.0 та останніми контейнерними середовищами. Зміни, що стосуються безпеки, включають:

• Зміцнені параметри монтування cgroup (nsdelegate, memory_recursiveprot, memory_hugetlb_accounting)
• Оновлений стек контейнерів:
  • containerd 2.2.1
  • runc 1.4.0
  • docker.io 29 з підтримкою nftables та значеннями за замовчуванням для зберігання образів containerd

Це забезпечує, щоб ізоляційна семантика та межі контейнерів будувалися на сучасному субстраті. Це особливо важливо для хмарних робочих навантажень.

Еволюція обмеження додатків з AppArmor

Ubuntu продовжує посилювати ізоляцію програм через постійні вдосконалення AppArmor, системи обов’язкового контролю доступу. Ключова область розробки – підказки користувачам щодо дозволів для додатків, що запаковані в snap, призначені для надання більш детального та прозорого контролю над тим, як програми отримують доступ до чутливих системних ресурсів, таких як файли, пристрої та мережеві інтерфейси.

Зробивши ці рішення щодо доступу більш видимими, AppArmor намагається поліпшити як безпеку, так і обізнаність користувачів про поведінку додатків. Ця можливість доступна як експериментальна фішка і ще не є частиною звичайної безпеки в Ubuntu 26.04 LTS, відображаючи більш широкий напрямок до більш суворого пісковища для додатків та більш підзвітних моделей дозволів у майбутніх випусках Ubuntu.

Чому Ubuntu 26.04 LTS є надійним

Випуски Ubuntu LTS визначають рівень безпеки, на якому компанії, держави, хмарні постачальники та виробники пристроїв будують протягом років. Ubuntu 26.04 LTS не є винятком.

За останні кілька циклів Ubuntu перепроектував свою модель безпеки з нуля: новітня криптографія, закріплення довіри в апаратному забезпеченні, зменшення привілеїв основних служб та перенесення безпеки із встановлення в сфери, де її справді можна управляти.

З Ubuntu 26.04 LTS ці зміни стають новою нормою. Розгортайте його з упевненістю.