Ubuntu จะนำ ntpd-rs (Rust) มาใช้และลดทอน GRUB เพื่อความปลอดภัยสูงสุด

ประเด็นสำคัญ:
  • เขียนใหม่ด้วยภาษา Rust: Ubuntu จะใช้ ntpd-rs เป็นเซิร์ฟเวอร์และไคลเอ็นต์เวลาเริ่มต้น แทนที่ chrony, linuxptp และ gpsd
  • การรวมโปรโตคอล: เครื่องมือนี้จะผสานรวม Statime เพื่อจัดการ NTP, NTS และ PTP ในแพ็กเกจเดียว
  • กำหนดการวางจำหน่าย: ntpd-rs จะเริ่มใช้งานในเวอร์ชันทดสอบของ Ubuntu 26.10 (ฤดูใบไม้ร่วงปี 2026) และจะกลายเป็นมาตรฐานอย่างสมบูรณ์ใน Ubuntu 27.04 (ฤดูใบไม้ผลิปี 2027)
  • การปรับปรุง GRUB: Ubuntu 26.10 จะลดความเสี่ยงด้านความปลอดภัยของตัวจัดการบูตโดยการลบการสนับสนุน JPEG/PNG, BTRFS/ZFS และ LUKS/LVM เฉพาะในพาร์ติชัน /boot เท่านั้น
  • การสนับสนุนจากภาคอุตสาหกรรม: โครงการนี้ได้รับทุนสนับสนุนจาก Canonical และพัฒนาโดย Trifecta Tech Foundation และกำลังถูกใช้งานอย่างแพร่หลายบนเซิร์ฟเวอร์ของ Let's Encrypt แล้ว
Darkcriztอัปเดตเมื่อ

นาทีที่ 4

การเปลี่ยนผ่านของ Ubuntu ไปใช้ ntpd-rs

La แคมเปญของ Canonical เพื่อกำจัดช่องโหว่ด้านหน่วยความจำ เพิ่มเป้าหมายใหม่ที่ท้าทายยิ่งขึ้น จอน ซีเกอร์ รองประธานฝ่ายวิศวกรรมและหัวหน้าทีมเทคนิคของ Ubuntu กล่าวว่า ได้ประกาศว่า ntpd-rs ซึ่งเป็นเซิร์ฟเวอร์และไคลเอ็นต์สำหรับการซิงโครไนซ์เวลา เขียนขึ้นทั้งหมดด้วยภาษา Rust และจะกลายเป็นมาตรฐานเริ่มต้นของระบบปฏิบัติการ

การเคลื่อนไหวเชิงกลยุทธ์นี้ นี่นับเป็นการเปลี่ยนระบบสาธารณูปโภคครั้งใหญ่ครั้งที่สามแล้ว ด้วยโค้ดที่ปลอดภัยต่อหน่วยความจำ (โดยเดินตามรอย Rust Coreutils และ sudo-rs) เป้าหมายสูงสุดของ Canonical ไม่เพียงแต่จะแทนที่ตัวจัดการเวลาปัจจุบันเท่านั้น แต่ยังรวมถึงการผนวกรวมความสามารถของ Precision Time Protocol (PTP) ผ่านโครงการ Statime ด้วย ซึ่งจะรวมโปรโตคอล NTP, NTS และ PTP เข้าไว้ในยูทิลิตี้เดียวที่ทันสมัย ​​ปลอดภัย และตั้งค่าได้ง่าย

กำหนดการสำหรับการเปลี่ยนไปใช้ NTPD-RS

Canonical ระบุว่าการเปลี่ยนแปลงนี้จะดำเนินการอย่างค่อยเป็นค่อยไปเพื่อให้มั่นใจถึงเสถียรภาพในสภาพแวดล้อมขององค์กร เนื่องจากบริษัทให้การสนับสนุนทางการเงินแก่ Trifecta Tech Foundation (ผู้สร้าง ntpd-rs และ sudo-rs) อย่างแข็งขันเพื่อให้มีฟังก์ชันการทำงานที่เทียบเท่ากันและปรับปรุงการแยกความปลอดภัยให้ดียิ่งขึ้น กำหนดการในการดำเนินการมีดังนี้:

  • ฤดูใบไม้ร่วงปี 2026 (Ubuntu 26.10): แพ็คเกจ ntpd-rs จะเปิดตัวอย่างเป็นทางการในคลังซอฟต์แวร์ของ Ubuntu ในช่วงนี้ จะถูกนำเสนอเป็นทางเลือกเสริมสำหรับผู้ดูแลระบบและนักพัฒนาเพื่อเริ่มต้นการทดสอบการทำงานร่วมกัน
  • ฤดูใบไม้ผลิปี 2027 (Ubuntu 27.04): หากประสิทธิภาพและความปลอดภัยอยู่ในระดับที่น่าพอใจ ntpd-rs จะกลายเป็นไคลเอ็นต์และเซิร์ฟเวอร์แบบรวมศูนย์เริ่มต้นของระบบ ในเวลานั้น มันควรจะมีการรวมโปรเจกต์ Statime เข้ามาด้วย ซึ่งจะเข้ามาแทนที่แพ็กเกจ chrony, linuxptp และอาจรวมถึง gpsd ที่ใช้งานมานานอย่างถาวร

การรวมโปรโตคอล: NTP, NTS และ PTP

การซิงโครไนซ์เวลาเป็นเสาหลักที่มองไม่เห็นของการเข้ารหัสลับสมัยใหม่ (เช่น การตรวจสอบความถูกต้องของใบรับรอง TLS) จนถึงปัจจุบัน ระบบ Linux อาศัยเครื่องมือที่กระจัดกระจายในการจัดการระดับความแม่นยำและความปลอดภัยที่แตกต่างกัน วิสัยทัศน์ของ Canonical เกี่ยวกับ ntpd-rs คือ รวมเข้าด้วยกัน:

  • NTP (Network Time Protocol): โปรโตคอลมาตรฐานสำหรับการซิงโครไนซ์เวลาทั่วไปของระบบผ่านทางอินเทอร์เน็ต
  • NTS (Network Time Security): ชั้นการเข้ารหัสที่ป้องกันการปลอมแปลงหรือการดักฟังข้อมูลเวลา (คล้ายกับที่ HTTPS ป้องกัน HTTP)
  • PTP (Precision Time Protocol): สงวนไว้สำหรับเครือข่ายที่ต้องการการซิงโครไนซ์ระดับต่ำกว่าไมโครวินาที (โทรคมนาคม โครงข่ายไฟฟ้า ยานยนต์) การผสานรวมความสามารถของ Statime เข้ากับ ntpd-rs จะช่วยขจัดความจำเป็นในการกำหนดค่าด้วยตนเองที่ซับซ้อนซึ่งปัจจุบันจำเป็นต้องใช้ใน linuxptp

เพื่อให้เกิดการรวมเป็นหนึ่งเดียวนี้ จะมีการดำเนินการดังต่อไปนี้ คุณสมบัติใหม่ ก่อนการประจำการขั้นสุดท้าย ซึ่งรวมถึง รองรับการทำงานของซ็อกเก็ต IP gpsd, การทำงานแบบมัลติเธรด และการทำงานแบบมัลติโฮมของเซิร์ฟเวอร์ NTP (อินเทอร์เฟซเครือข่ายหลายตัว) และ การนำโปรโตคอล gPTP และ CSPTP มาใช้ (IEEE 1588.1) สำคัญอย่างยิ่งสำหรับกลุ่มอุตสาหกรรมยานยนต์

ระบบรักษาความปลอดภัยที่ได้รับการพิสูจน์แล้วและลดช่องโหว่ในการโจมตี

การเลือกใช้ ntpd-rs ไม่ใช่การทดลองแบบสุ่มสี่สุ่มห้า เนื่องจากประโยชน์ของมันได้รับการพิสูจน์แล้วว่ามีความน่าเชื่อถือในระดับอุตสาหกรรม โดยได้รับการนำไปใช้ในโครงสร้างพื้นฐานที่สำคัญของหน่วยงานรับรอง Let's Encrypt ในช่วงกลางปี ​​2024 เนื่องจากเขียนด้วยภาษา Rust จึงมีความทนทานต่อข้อผิดพลาดบัฟเฟอร์โอเวอร์โฟลว์แบบคลาสสิกโดยธรรมชาติ ซึ่งเป็นปัญหาที่เคยเกิดขึ้นกับเครื่องมือ C/C++ มาโดยตลอด เพื่อป้องกันปัญหานี้ให้ดียิ่งขึ้นใน Ubuntu กำลังพัฒนาโปรไฟล์ AppArmor และ seccomp ที่เข้มงวดเพื่อให้มั่นใจว่าการรักษาความปลอดภัยของหน่วยความจำจะไม่กระทบต่อขีดจำกัดสิทธิ์ของระบบ

การให้ความสำคัญกับความปลอดภัยขั้นสูงสุดนี้ยังขยายไปถึงส่วนอื่นๆ ของระบบด้วย จูเลียน อันเดรส โคลเด หัวหน้าโครงการ APT ที่ Canonical ได้ประกาศแผนการคู่ขนานที่จะลดช่องโหว่การโจมตีของบูตโหลดเดอร์ GRUB ใน Ubuntu 26.10 อย่างมาก

เพื่อหลีกเลี่ยงช่องโหว่ที่เกิดขึ้นซ้ำๆ GRUB ที่ลงลายเซ็นดิจิทัลจะสูญเสียความเข้ากันได้กับรูปแบบที่ไม่จำเป็น ระหว่างการบูต ระบบจะรวมภาพ JPEG/PNG, ตารางพาร์ติชั่น part_apple และระบบไฟล์ BTRFS, XFS และ ZFS (เฉพาะพาร์ติชั่น /boot ซึ่งโดยปกติจะใช้ ext4 ใน Ubuntu) นอกจากนี้ การสนับสนุนสำหรับ LUKS, LVM และ md-raid จะถูกลบออก (ยกเว้น raid1) ใน /boot โดยให้ความสำคัญกับการตรวจสอบความสมบูรณ์โดยใช้การเข้ารหัส FDE ที่รองรับโดย TPM มากกว่าการพึ่งพาการปกปิดข้อมูล

สุดท้ายนี้ หากคุณสนใจเรียนรู้เพิ่มเติม คุณสามารถดูรายละเอียดได้ ในลิงค์ต่อไปนี้.