Ubuntu 23.10の注目機能
「Ubuntu 23.10」の注目機能を紹介します。
1. TPMによるFDE
「Ubuntu Desktop 23.10」で「TPM(Trusted Platform Module)」を利用した「Full Disk Encryption(FDE)」が試験的にサポートされました。
これにより「TPM」によるストレージの暗号化が可能になりました。
1-1. パスフレーズが不要に
従来の「FDE」ではマシンの起動時に暗号化されたストレージのロックを解除するため、パスフレーズの入力が必要でした。そのためマシンの管理者は、パスフレーズを入力する手間が増える代わりにセキュリティーを向上させるのか、それとも暗号化をやめてマシンの管理を容易するのか、どちらかを選択する必要がありました。
しかし今回新たに導入された「TPM」による「FDE」では、暗号鍵が「TPM」によって管理され、マシンの起動時に起動する正当性が検証されたソフトウェアによりその暗号鍵が取り出され、自動的にストレージのロックが解除されるようになりました。
つまりマシン起動時にパスフレーズを入力する必要がなくなりました。
1-2. 今後もサポートを改善していく
「Ubuntu Desktop 23.10」では限られたハードウェア構成でのみ「TPM」による「FDE」を利用できるようになっていますが、次にリリースを控える「Ubuntu 24.04 LTS」ではより広範なハードウェア構成がサポートされる予定です。加えて暗号化の設定や管理オプションの実装も予定されています。
「Ubuntu 24.04 LTS」は2024年4月にリリースされる予定です。
2. 非特権プロセスによるユーザー名前空間の利用制限
非特権プロセスによるユーザー名前空間は、ウェブブラウザーなど多くの一般的なアプリで活用されている機能です。それらのアプリはユーザー名前空間を利用してサンドボックスを作成し、その中でプロセスを動作させることで安全性を向上させています。
2-1. 悪意あるソフトウェアの標的になる
ユーザー名前空間内では、特権を持つ「root」のみが利用できるカーネルインターフェースが公開され、特権がないプロセスでもそれらのカーネルインターフェースを利用できるようになっています。この仕組み自体は意図した仕組みなのですが、悪意あるソフトウェアの中にはこのカーネルインターフェースを標的に攻撃を仕掛けるものもあり、重大なセキュリティーリスクに繋がる可能性があります。
2-2. 非特権プロセスによるユーザー名前空間の利用を制限
「Ubuntu」ではこの問題に対応するため、非特権プロセスによるユーザー名前空間の作成をデフォルトで無効化し、ユーザー名前空間を利用したいアプリにAppArmorプロファイルを求める仕組みを追加しました。この仕組みを活用することで攻撃対象になるソフトウェアを狭め、セキュリティーリスクを大幅に軽減することができます。
この仕組みは後日有効になりますが、有効になった後にAppArmorプロファイルがないソフトウェアは、ユーザー名前空間を利用できなくなります。
またUbuntu公式リポジトリーから提供されるソフトウェアは、Ubuntu側でAppArmorプロファイルが提供されるようになります。
3. 新しいアプリケーションストアアプリ
「App Center(アプリセンター)」は新規に開発された新しいアプリケーションストアアプリです。「Ubuntu Desktop 23.10」で「App Center」が導入されました。
3-1. 高速に、そして使いやすく
「App Center」はSnapとdebパッケージをサポートし、高速にそして優れた使い勝手を提供しています。「App Center」上で検索可能なSnapアプリやそのアプリの情報は、「Canonical」が管理する「Snap Store」から取得した情報(メタデータ)を活用しています。
3-2. Snap Storeの安全性
Snapアプリは「Snap Store」を通じてユーザーに公開されています。「Snap Store」ではすべてのアプリでセキュリティーレビューが実施されており、各アプリは動作するのに必要な権限のみ与えられるようになっています。
また署名検証プロセスにより、Snapアプリが悪意ある第三者によって変更できないようになっています。
Snapアプリを変更できるのは、そのSnapアプリのパブリッシャーのみに限定されています。
4. プラットフォームのサポート拡大
「Ubuntu 23.10」で対応プラットフォームが拡大されました。4-1. Raspberry Pi 5のサポート
「Ubuntu」と「Raspberry Pi Foundation」の連携により、「Ubuntu 23.10」で「Raspberry Pi 5」がサポートされました。「Raspberry Pi 5」で「Ubuntu Desktop 23.10」及び「Ubuntu Server 23.10」を利用できます。
4-2. SiFive HiFive Pro P550のサポート
「Canonical」と「SiFive」の連携により、「Ubuntu 23.10」は今後リリース予定の「SiFive HiFive Pro P550」に対応しました。
「SiFive HiFive Pro P550」向け「Ubuntu 23.10」は、「SiFive HiFive Pro P550」リリース後にリリースされる予定です。
5. 管理ツールの統合
管理者が利用する管理ツールが統合され、管理コストが削減されました。5-1. Netplanの導入
「Ubuntu Server」では以前から管理者がネットワーク構成を定義する時に「Netplan」を活用してきました。「Ubuntu Dekstop 23.10」でもネットワーク構成の定義に「Netplan」が利用されるようになりました。
これにより管理者はデスクトップとサーバーのネットワーク構成を定義する時に、同じ手法を用いてネットワーク構成を定義できるようになりました。
5-2. 証明書の自動登録
「Windows Server」は「Active Directory」でグループポリシーを利用して証明書をクライアントに自動登録する機能を提供しています。「Ubuntu」の「Active Directory」クライアントである「ADSys」でこの機能に対応しました。
これにより「Wi-Fi」や「VPN」利用時に、手動で証明書の登録作業を省けるようになります。
ちなみに「ADSys」を利用するには「Ubuntu Pro」との契約が必要です。
5-3. フリート管理の改善
フリート管理を改善するため「Ubuntu Pro」クライアントは追加ガイダンス付きのLandscape登録ウィザードを提供するようになりました。これにより大規模なLandscapeへの登録が従来よりも簡単になりました。
詳細は「pro enable landscape」コマンドを確認してください。
6. Dockerのサポート改善
「Ubuntu 23.10」で「Docker 24.0.5」が採用されました。また以下の非常に人気のあるDockerプラグインも利用できます。
