Ubuntu 26.04 LTS є одним із найнадійніших випусків LTS. Замість того, щоб лише додавати нові функції, Ubuntu 26.04 LTS зміцнила безпеку по всіх рівнях системи одночасно. Це вдалося зробити без порушення розгортань або вимоги ручного втручання. У цьому огляді ми розглянемо новини безпеки Ubuntu 26.04 LTS, включаючи:

• Шифрування з апаратною підтримкою, готове до використання 
• Криптографічні налаштування, які враховують квантову безпеку
• Підтримка корпоративного рівня для всіх провідних технологій захищеного обчислення на стороні клієнта та сервера
• Веб-сервери, що відмовляються від застарілого TLS
• Продовження роботи над підвищенням безпеки302
• Служби ідентифікації, що відмовляються працювати з правами root
• Зміцнене програмне забезпечення та безпечний запуск від початку до кінця
• Контрольна панель, яка робить все це видимим, керованим і доступним для аудиту довго після розгортання

Ubuntu 26.04 LTS встановлює суттєво вищий рівень безпеки для наступного десятиліття використання Linux. Організації, які стандартизують Ubuntu як надійний фундамент, безумовно, повинні будувати на цьому випуску.

Центр безпеки: контрольна панель для управління безпекою

Історично ключові рішення щодо безпеки (такі як шифрування дисків або статус безпечного запуску) приймалися під час установки і рідко переглядалися. Ubuntu 26.04 LTS змінює цю практику.

Центр безпеки тепер відкриває важливі захисти платформи, що робить їх перевіряємими і керованими після розгортання. Адміністратори можуть перевірити і керувати:

• Станом повного шифрування диска з підтримкою TPM
• Механізмами відновлення
• Статусом безпечного запуску
• Конфігурацією захисту диска

Це зміна філософії: безпека більше не є просто галочкою під час налаштування. Це відповідальність впродовж всього життєвого циклу. Ubuntu 26.04 LTS робить цю відповідальність видимою і дієвою. Для управлінських десктопів та корпоративних середовищ це скорочує мертві зони та підвищує можливість аудиту.

Шифрування диска з підтримкою TPM готове до реального використання

Шифрування диска з підтримкою TPM стає загальнодоступним з Ubuntu 26.04 LTS. Цю можливість ми вже вводили в попередніх випусках, але тепер вона стала більш надійною та готовою до використання. Основна увага в цьому випуску приділяється модам відмови, важливим для виробництва:

• Обробка ключів для відновлення під час оновлення прошивки є прогнозованою і виводиться на поверхню перед критичним перезавантаженням
• Відомі несумісності, такі як Absolute/Computrace, чітко задокументовані
• Вимоги до модулів ядра для певних конфігурацій зберігання чітко визначені

Це виглядає як готовність до використання: менше невизначених станів, менше сюрпризів під час оновлень і чіткіші межі апаратного забезпечення. Завдяки цьому шифрування з підтримкою апаратних засобів перестає бути експериментом; з Ubuntu 26.04 LTS це перша класична механіка безпеки.

Конфіденційні обчислення: підтримка хостів і клієнтів для SEV-SNP та TDX

Ubuntu 26.04 LTS повністю інтегрує підтримку хостів і клієнтів для AMD SEV-SNP і Intel TDX, двох технологій, що визначають майбутнє конфіденційної хмарної інфраструктури.

Ця можливість має великий потенціал, оскільки тепер ви можете запускати віртуальні машини, у пам’яті яких дані шифруються і захищені від псування самою ЦП.

Інші дистрибутиви пропонують лише частини цього. На відміну від них, Ubuntu 26.04 LTS пропонує повний стек: ядро, прошивка та інструменти, інтегровано та готово до розгортання. Для постачальників хмарних послуг, регульованих галузей, робочих навантажень AI та всіх, хто серйозно ставиться до суверенітету даних, Ubuntu пропонує комплексну платформу для конфіденційних обчислень.

Зміцнення основи безпеки з безпечними реалізаціями

Ubuntu 26.04 LTS продовжує цілеспрямовані зусилля щодо підсилення системи через “окислення” компонентів, чутливих до безпеки, замінюючи застарілі реалізації безпечними альтернативами, написаними на Rust.

У цьому випуску rust-coreutils надає основні утиліти системи, а sudo-rs стає стандартною реалізацією sudo, у той час як традиційні GNU coreutils і оригінальний sudo залишаються доступними для зворотної сумісності.

Сучасна криптографія за замовчуванням

Ubuntu 26.04 LTS постачається з OpenSSH 10.2 і продовжує цілеспрямоване видалення застарілої криптографії, а також оновлення криптографічного стеку системи.

Ключові зміни включають:

• Гібридний обмін ключами, що враховує квантову безпеку, доступний за замовчуванням
• Повне видалення підтримки DSA
• DSA ключі хостів більше не генеруються
• SSH сервер більше не читає ~/.pam_environment, зменшуючи ризики ін’єкцій середовища

Немає необхідності у перемиканні для використання сучасного обміну ключами. Ці функції стали стандартними. 

Служби ідентифікації працюють з меншими привілеями

Деякі найзначніші зміни безпеки в Ubuntu 26.04 LTS не видно на скріншотах, вони видимі в таблицях процесів.

• SSSD зараз працює як спеціалізований користувач, а не як root
• OpenLDAP працює в режимі примусу AppArmor
• Конфігурація хешування паролів в OpenLDAP покращена за рахунок контролю ітерацій PBKDF2

Крім того, Ubuntu 26.04 LTS вводить authd як підтримувану платформу аутентифікації, що дозволяє інтеграцію з постачальниками ідентичності у хмарі за сучасними стандартами, такими як OpenID Connect.

Це дозволяє системам Ubuntu, як на робочому столі, так і на сервері, приймати сучасні методи аутентифікації, включаючи багатофакторну аутентифікацію (MFA) та політики умовного доступу, узгоджені з підприємницькими платформами ідентифікації.

Служби ідентифікації є привабливими цілями. Робота з меншими привілеями та змушеним обмеженням значно зменшує потенційні втрати у разі зламу.

Безпечний запуск та зміцнення прошивки

Ubuntu 26.04 LTS оновлює компоненти прошивки та посилює статус безпечного запуску:

• NX (No-Execute) увімкнено для всіх варіантів Secure Boot
• Застарілий строгий варіант strictnx видалено на користь узгоджених зміцнених збірок
• Пакети прошивки OVMF узгоджені з технологіями безпеки віртуалізації, такими як AMD SEV і Intel TDX

Цілісність завантаження є основоположною. Укріплення на цьому рівні зміцнює ланцюг довіри від прошивки до простору користувача.

Оновлення ядра і основи контейнерів

Ubuntu 26.04 LTS узгоджується з сучасним базисом ядра Linux 7.0 та останніми версіями контейнерів. Зміни, що стосуються безпеки, включають:

• Посилені налаштування монтування cgroup (nsdelegate, memory_recursiveprot, memory_hugetlb_accounting)
• Оновлений стек контейнерів:
  • containerd 2.2.1
  • runc 1.4.0
  • docker.io 29 з підтримкою nftables і стандартними значеннями для сховища зображень containerd

Це забезпечує, що семантика ізоляції та межі контейнера будуються на сучасній основі. Це особливо важливо для хмарних робочих навантажень.

Еволюція обмеження застосунків з AppArmor

Ubuntu продовжує посилювати ізоляцію додатків через постійне вдосконалення AppArmor, системи обов’язкового контролю доступу. Ключова сфера розробки – запит дозволів для прилеглих застосунків, що забезпечує більш детальний і прозорий контроль над тим, як додатки отримують доступ до чутливих системних ресурсів, таких як файли, пристрої та мережеві інтерфейси.

Цей підхід робить ці рішення щодо доступу більш помітними та явними, покращуючи безпеку та усвідомленість користувачів щодо поведінки додатків. Ця можливість доступна як експериментальна функція і ще не є частиною стандартної безпеки в Ubuntu 26.04 LTS, що відображає ширший напрямок до більшої ізоляції застосунків і більш відповідальних моделей дозволів у майбутніх випусках Ubuntu.

Чим сильний Ubuntu 26.04 LTS

Випуски Ubuntu LTS визначають базовий рівень безпеки, на якому бізнеси, уряди, хмарні постачальники та виробники пристроїв базують свою роботу протягом років. Ubuntu 26.04 LTS не є винятком.

За останні кілька циклів Ubuntu переосмислює свою модель безпеки: модернізує криптографію, консервує довіру до апаратного забезпечення, знижує привілеї основних служб і переносить безпеку з установника в простори, де її можна насправді керувати.

З Ubuntu 26.04 LTS ці зміни стають новою нормою. Розгортайте з упевненістю.