Abo
  • Services:

Betriebssysteme: Linux 4.18 bahnt den Weg für eine neue Firewall

Mit Linux 4.18 kommt der Berkely Packet Filter als Ersatz für Netfilter erheblich voran. Lustre fliegt raus, ein umstrittener Verschlüsselungsalgorithmus der NSA kommt rein und die Sicherheitslücke Spectre macht den Kernel-Hackern weiterhin Arbeit.

Artikel von veröffentlicht am
Mit der Veröffentlichung von Linux 4.18rc1 ist die übliche sechswöchige Testphase eingeläutet worden.
Mit der Veröffentlichung von Linux 4.18rc1 ist die übliche sechswöchige Testphase eingeläutet worden. (Bild: Jason Auch/CC-BY 2.0)

Der Berkley Paket Filter (BPF) soll langfristig die veraltete Firewall Netfilter ersetzen, die inzwischen für die steigenden Übertragungsraten in Netzwerken zu langsam geworden ist. In Linux 4.18, dessen erste Testversion von Linux-Chef Linus Torvalds freigegeben wurde, ist dafür eine wesentliche Funktion eingebaut worden. Das eigentlich ausgereifte verteilte Dateisystem Lustre wurde kurzerhand aus dem Kernel entfernt, weil die Entwickler ihre Änderungen nicht in den offiziellen Kernel-Code einpflegen. Benutzer ohne Root-Rechte dürfen künftig sämtliche Dateisysteme über FUSE einbinden, was vor allem für Container wichtig ist. Und ein umstrittener Verschlüsselungsalgorithmus der NSA darf mit wesentlichen Dateisystemen genutzt werden.

Inhalt:
  1. Betriebssysteme: Linux 4.18 bahnt den Weg für eine neue Firewall
  2. Lustre ist raus, Namespace mit FUSE kommt rein
  3. Kaum Änderungen bei Grafiktreibern, umstrittene NSA-Verschlüsselung

Ganz lassen die Sicherheitslücken Spectre und Meltdown die Entwickler noch nicht los. Für die beiden Spectre-Versionen V1 und V2 gibt es jetzt auch Patches für 32-Bit-ARM-Prozessoren. Mit Speculative Store Bypass Disable (SSDB), das bereits in Linux 4.17 Einzug hielt, dort aber nur mit Intel-CPUs funktioniert, gibt es Gegenmaßnahmen gegen Spectre V4. Diese Lücke ermöglicht unter bestimmten Umständen das Auslesen eines Zeigers, auch wenn die Vorhersage durch die CPU noch nicht verifiziert wurde. In Linux 4.18 gibt es den Patch jetzt auch für AMD- und ARM64-Prozessoren. Diese Patches funktionieren jedoch nur mit aktualisierten Versionen der jeweiligen Firmware.

Wesentlicher Schritt für den Netfilter-Ersatz

Viel Arbeit haben die Linux-Hacker in die Erweiterung Bpfilter für den Berkley Packet Filter gesteckt. Wie ein Artikel bei LWM.net erläutert, steckt in der Entwicklung des Bpfilter-Mechanismus die Motivation, beispielsweise das Filtern von Netzwerkpaketen zu beschleunigen und langfristig das bislang verwendete Netfilter zu ersetzen, das inzwischen bei stetig steigend Übertragungsraten zu langsam geworden ist. Bpfilter hält Einzug in den aktuellen Kernel und schafft zunächst die Grundlage für ein beschleunigtes Filtersystem. Eine der Hürden, die überwunden werden mussten, war die Interaktion mit dem User-Space und die damit einhergehenden Sicherheitsbedenken, wenn mit einfachen Benutzerrechten erstellte Filterregeln im Kontext des Kernels laufen sollen. Denn der Plan, Bpfilter einfache Iptables-Regeln zu übergeben und in für den Just-In-Time-Compiler des BPF - den es mit Linux 4.18 auch für 32-Bit-x86-Systeme gibt - umzuwandeln, erfordert eben die Interaktion zwischen Benutzer und Kernel.

Dafür haben die Entwickler die sogenannten User-Mode-Blobs entworfen. Sie können einfach als Objekte erstellt werden und mit dem Modul Bpfilter.ko verlinkt werden. Damit kann der einen neuen Prozess und entsprechende Pipes erstellen, über die die Kommunikation mit dem Prozess stattfindet. Code, etwa ein Paketfilter, wird in das temporäre Dateisystem Tmpfs kopiert und dort auch ausgeführt.

Mehr als nur ein Paketfilter

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Schaeffler AG, Herzogenaurach

Bpfilter steht noch am Anfang. Es gibt zwar bereits einen entsprechenden Paketfilter, der wurde in Linux 4.18 jedoch noch nicht umgesetzt, vor allem weil der Code der User-Mode-Blobs zunächst noch getestet werden muss. Langfristig dürfte aber genau diese Funktion weitreichender genutzt werden als nur in einem Paketfilter. Der Maintainer David Miller läutete den Patch mit den Worten ein: "Lasst den Wahnsinn beginnen."

Auch an anderer Stelle wurden Neuerungen am Berkley Paket Filter umgesetzt. Mit dem AF_XDP-Subsystem gelingt es künftig, BPF-Anwendungen im Benutzerkontext den Zero-Copy-Mechanismus im Netzwerk-Stack zu verwenden, der ebenfalls in Linux 4.18 hinzugekommen ist. Durch das einfache setzen eines Zeigers zum entsprechenden Code im Puffer wird so aufwendiges Kopieren umgangen. Eine weitere Neuerung bringt die Möglichkeit für BPF-Programme an einem Socket den Aufruf sendmsg() zu verwenden. Damit können die Programme beispielsweise IP-Adressen in ausgehenden Netzwerkpaketen umschreiben, wie es etwa beim Network Address Translation (NAT) verwendet wird.

Lustre ist raus, Namespace mit FUSE kommt rein 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 14,99€ + 1,99€ Versand oder Abholung im Markt
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 50,99€ mit Vorbesteller-Preisgarantie
  4. 54,99€ mit Vorbesteller-Preisgarantie

FreiGeistler 19. Jun 2018 / Themenstart

Selbe Antwort wie bei heise auf die selbe Frage.

Kommentieren


Folgen Sie uns
       


BMW i3s - Test

Er ist immer noch ein Hingucker: Der knallrote BWM i3s zieht die Blicke anderer Verkehrsteilnehmer auf sich. Doch man muss sich mit dem Hinschauen beeilen. Denn das kleine Elektroauto der Münchner ist mit 185 PS ziemlich flott in der Stadt unterwegs.

BMW i3s - Test Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

    •  /