Canonical发布Ubuntu Core 20 大幅提升物联网设备安全性

2021年2月2日,Canonical的Ubuntu Core 20——迷你和专为IoT设备和嵌入式系统所提供的容器化版Ubuntu 20.04 LTS,现已可用。此大版本通过安全启动、全盘加密和安全的设备恢复加固了设备的安全性。Ubuntu Core构建于Ubuntu应用生态以创建高安全的智慧物联网。

Canonical CEO Mark Shuttleworth说道:“每个连接的设备需要有保障的平台安全和应用软件商店。Ubuntu Core 20内建系统上的严格限制和安全更新使得创新者们以创建高安全的万物和完全地专注在他们自有的独特功能特性和应用。”

Ubuntu Core 20用常规、自动化和可靠的更新来解决设计成本、开发和安全设备的维护。Canonical与芯片提供商和ODM合作使得新设备上市的过程简单化,并且与合作伙伴一起提供SMART START服务来降低IoT项目的风险。SMART START是一种固定价格模式来发布设备的服务,包含咨询,工程和前1000台认证设备的更新。

今天的版本发布基于Ubuntu Core的既有优势。可控的领先安全更新支持和经济实惠的无人值守软件更新可为OEM大规模设备提供的快速、远程的修复能力。基础系统内无内置无用软件,使得针对OS和软件的攻击面更小,降低了安全更新的频率和大小。Ubuntu Core设备上的所有snap都被严格限制和隔离,限制受损软件的危害。可证明的软件完整性和安全启动可防止未经授权的软件安装,并且具有硬件级的信任性。全盘加密可简化对敏感的消费类,工业,医疗保健或智能城市应用程序的隐私要求。

Ubuntu Core广泛地用于认证的主流X86和ARM单板计算机上,这使其可为所有人使用。Canonical将提供最长为10年的安全更新支持。 

Ubuntu Core产品经理Galem Kayo说道:“应用商店支撑着互联设备商业模式的新潮流。随着应用程序发展到边缘,远程位置的数据价值将增加。Ubuntu Core 20通过硬件支持的全磁盘加密增加了安全启动,以确保免受物理攻击者的机密性。” 

由博世力士乐(Bosch Rexroth),戴尔,ABB,Rigado,Plus One Robotics,Jabil等厂家推向市场的成千上万的工业和消费物联网设备正运行着Ubuntu Core。

Fuchsia 操作系统将兼容Debian Linux 应用

Fuchsia是谷歌公司新推出的一款更适合物联网的操作系统。这款新操作系统和安卓以及Chrome OS都不同,因为它没有使用Linux内核。

正在人们为其兼容性担忧之时,谷歌最近宣布为 Fuchsia OS 增加了一个用于运行 Debian Linux 应用程序的模拟器。以使 Linux 应用程序能够在 Fuchsia 中作为虚拟机(VM)运行。和之前发布的模拟器不同,谷歌声称:其“Guest” App 与宿主 Fuchsia 的集成会更加紧密。

对于有些人来说,Linux 不仅是 Android 和 Chrome OS 的基础,也是谷歌企业平台的基础,所以 Fuchsia 似乎是一种“背叛”。

毫无疑问,谷歌有一些非常好的理由要避免使用 Linux。一个原因可能是 Linux“年纪太大”,太复杂了。如果从头开始做一个东西,谷歌就可以避开这些问题,使用更优雅的代码,给黑客留下最少的可乘之机。谷歌还将安全更新深植到操作系统中,通过隔离应用程序让它们无法直接访问系统内核,这点与 Linux 是不一样的。

早在 2016 年,我们认为谷歌可能会将 Fuchsia 作为一个私有操作系统,就像苹果公司将 iOS 的一切牢牢控制在手中一样。尽管不排除这个可能性,但至少现在 Fuchsia 仍然是一个开源项目。

有些人还推测,谷歌因为无法在微处理器(MCU)领域扩大规模而绕过了 Linux。然而,基于 MCU 的物联网似乎并不是目前 Fuchisa 关注的焦点。一些报道称,Fuchsia 旨在替代 Android 和 Chrome OS,最终的组合平台将被称为 Google Andromeda。

今年早些时候,9to5Google 报道说,Fuchsia 将包含独立的 UI——用于手机的 Armadillo UI 和用于桌面的 Capybara UI——以及 Android Things 和其他新的 Android 变体,将紧密集成谷歌智能助理语音技术。从本质上讲,这与微软未能为手机和笔记本电脑提供通用的 Windows 或 Canonical 已停用的“融合”版 Ubuntu 计划如出一辙。

无论 Fuchsia 的命运将如何,谷歌需要吸引到成熟的应用程序和开发者,而实现这一目标的最佳方式就是增加 Linux 应用程序兼容性。9to5Google 建议,为了实现该目标,新的 Guest App 最开始应该先支持包括 Debian 在内的 Linux 平台,通过调用 Machina 库实现比 QEMU(虚拟操作系统模拟器)更好的集成。

谷歌将 Fuchsia 的 Machina 描述为“一个建立在 Zircon 之上的库,提供与 Garnet 系统集成的虚拟外设。”Zircon 是基于 Little Kernel(LK)的 Fuchsia 微内核,之前叫作 Magenta。Garnet 是直接位于 Zircon 之上的层,提供设备驱动程序、Escher 图形渲染器、Fuchsia 的 Amber 更新程序以及用于 Xi 编辑器的 Xi Core 引擎。其他层包括用于应用设计的 Peridot,以及 Topaz,一个支持 Flutter 的应用层。

Machina 采用了 Virtio 虚拟化标准,基于 Linux 内核的虚拟机(KVM)也采用了该标准。Machina 使用了 Virtio 的 vsock 虚拟套接字,“它可以在宿主操作系统与客户应用之间打开直接通道,而这种便利性无法通过其他方式实现”。

这样可能可以实现快速的鼠标移动、自动调整屏幕分辨率,并支持多显示器、文件传输以及复制和粘贴。这看起来很像人们所期望的通过谷歌 Crostini 在 Chrome OS 上运行 Linux 应用程序的仿真度。早些时候有关 Guest App 的报道表示,谷歌正在将 Android 运行时构建到 Fuchsia 中,而不是单纯依靠模拟器来运行 Android 应用程序。

我们应该以客观的态度看待模拟器。大多数基于 Linux 的移动操作系统厂商都承诺具备 Android 应用兼容性,但通常都未能兑现他们的诺言。因此,通过在一开始就将模拟器深植到宿主操作系统中,而不是在后面才添加。Fuchsia 可能因为此举而为 Linux 开发者提供了一个更“真实的”模拟器。

Ubuntu 18.04 整合Livepatch:Linux内核更新无需重启

即将到来的Ubuntu 18.04 LTS(Bionic Beaver)操作系统中将引入新功能,方便用户使用Canonical的Livepatch服务。该服务最早出现在Ubuntu 16.04 LTS(Xenial Xerus)中,能在不重启Ubuntu设备的情况下部署Linux内核更新。

在默认的Ubuntu 18.04更新安装过程中,Software & Updates工具的Update标签页中已经整合了Livepatch服务。不过如果用户想要使用这项服务,需要点击“Sign In”按钮创建Ubuntu SSO(Single Sign-On)账号并进行登陆。

Canonical的Will Cooke在本周的周报中写道:“我们仍在通过配置Livepatch和分享系统信息等决定来添加全新的first-login体验。这意味着用户可以通过‘Software & Updates’工具中的‘Updates’标签页对Livepatch进行配置。”

来自:cnBeta.COM

麦迪文:该特性对IoT设备是好事,可以不间断工作的同时照顾安全性。