Abo
  • Services:

Betriebssysteme: Linux 4.18 bahnt den Weg für eine neue Firewall

Mit Linux 4.18 kommt der Berkely Packet Filter als Ersatz für Netfilter erheblich voran. Lustre fliegt raus, ein umstrittener Verschlüsselungsalgorithmus der NSA kommt rein und die Sicherheitslücke Spectre macht den Kernel-Hackern weiterhin Arbeit.

Artikel von veröffentlicht am
Mit der Veröffentlichung von Linux 4.18rc1 ist die übliche sechswöchige Testphase eingeläutet worden.
Mit der Veröffentlichung von Linux 4.18rc1 ist die übliche sechswöchige Testphase eingeläutet worden. (Bild: Jason Auch/CC-BY 2.0)

Der Berkley Paket Filter (BPF) soll langfristig die veraltete Firewall Netfilter ersetzen, die inzwischen für die steigenden Übertragungsraten in Netzwerken zu langsam geworden ist. In Linux 4.18, dessen erste Testversion von Linux-Chef Linus Torvalds freigegeben wurde, ist dafür eine wesentliche Funktion eingebaut worden. Das eigentlich ausgereifte verteilte Dateisystem Lustre wurde kurzerhand aus dem Kernel entfernt, weil die Entwickler ihre Änderungen nicht in den offiziellen Kernel-Code einpflegen. Benutzer ohne Root-Rechte dürfen künftig sämtliche Dateisysteme über FUSE einbinden, was vor allem für Container wichtig ist. Und ein umstrittener Verschlüsselungsalgorithmus der NSA darf mit wesentlichen Dateisystemen genutzt werden.

Inhalt:
  1. Betriebssysteme: Linux 4.18 bahnt den Weg für eine neue Firewall
  2. Lustre ist raus, Namespace mit FUSE kommt rein
  3. Kaum Änderungen bei Grafiktreibern, umstrittene NSA-Verschlüsselung

Ganz lassen die Sicherheitslücken Spectre und Meltdown die Entwickler noch nicht los. Für die beiden Spectre-Versionen V1 und V2 gibt es jetzt auch Patches für 32-Bit-ARM-Prozessoren. Mit Speculative Store Bypass Disable (SSDB), das bereits in Linux 4.17 Einzug hielt, dort aber nur mit Intel-CPUs funktioniert, gibt es Gegenmaßnahmen gegen Spectre V4. Diese Lücke ermöglicht unter bestimmten Umständen das Auslesen eines Zeigers, auch wenn die Vorhersage durch die CPU noch nicht verifiziert wurde. In Linux 4.18 gibt es den Patch jetzt auch für AMD- und ARM64-Prozessoren. Diese Patches funktionieren jedoch nur mit aktualisierten Versionen der jeweiligen Firmware.

Wesentlicher Schritt für den Netfilter-Ersatz

Viel Arbeit haben die Linux-Hacker in die Erweiterung Bpfilter für den Berkley Packet Filter gesteckt. Wie ein Artikel bei LWM.net erläutert, steckt in der Entwicklung des Bpfilter-Mechanismus die Motivation, beispielsweise das Filtern von Netzwerkpaketen zu beschleunigen und langfristig das bislang verwendete Netfilter zu ersetzen, das inzwischen bei stetig steigend Übertragungsraten zu langsam geworden ist. Bpfilter hält Einzug in den aktuellen Kernel und schafft zunächst die Grundlage für ein beschleunigtes Filtersystem. Eine der Hürden, die überwunden werden mussten, war die Interaktion mit dem User-Space und die damit einhergehenden Sicherheitsbedenken, wenn mit einfachen Benutzerrechten erstellte Filterregeln im Kontext des Kernels laufen sollen. Denn der Plan, Bpfilter einfache Iptables-Regeln zu übergeben und in für den Just-In-Time-Compiler des BPF - den es mit Linux 4.18 auch für 32-Bit-x86-Systeme gibt - umzuwandeln, erfordert eben die Interaktion zwischen Benutzer und Kernel.

Dafür haben die Entwickler die sogenannten User-Mode-Blobs entworfen. Sie können einfach als Objekte erstellt werden und mit dem Modul Bpfilter.ko verlinkt werden. Damit kann der einen neuen Prozess und entsprechende Pipes erstellen, über die die Kommunikation mit dem Prozess stattfindet. Code, etwa ein Paketfilter, wird in das temporäre Dateisystem Tmpfs kopiert und dort auch ausgeführt.

Mehr als nur ein Paketfilter

Stellenmarkt
  1. Bezirk Mittelfranken, Ansbach
  2. Fresenius Netcare GmbH, Bad Homburg vor der Höhe

Bpfilter steht noch am Anfang. Es gibt zwar bereits einen entsprechenden Paketfilter, der wurde in Linux 4.18 jedoch noch nicht umgesetzt, vor allem weil der Code der User-Mode-Blobs zunächst noch getestet werden muss. Langfristig dürfte aber genau diese Funktion weitreichender genutzt werden als nur in einem Paketfilter. Der Maintainer David Miller läutete den Patch mit den Worten ein: "Lasst den Wahnsinn beginnen."

Auch an anderer Stelle wurden Neuerungen am Berkley Paket Filter umgesetzt. Mit dem AF_XDP-Subsystem gelingt es künftig, BPF-Anwendungen im Benutzerkontext den Zero-Copy-Mechanismus im Netzwerk-Stack zu verwenden, der ebenfalls in Linux 4.18 hinzugekommen ist. Durch das einfache setzen eines Zeigers zum entsprechenden Code im Puffer wird so aufwendiges Kopieren umgangen. Eine weitere Neuerung bringt die Möglichkeit für BPF-Programme an einem Socket den Aufruf sendmsg() zu verwenden. Damit können die Programme beispielsweise IP-Adressen in ausgehenden Netzwerkpaketen umschreiben, wie es etwa beim Network Address Translation (NAT) verwendet wird.

Lustre ist raus, Namespace mit FUSE kommt rein 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)

FreiGeistler 19. Jun 2018 / Themenstart

Selbe Antwort wie bei heise auf die selbe Frage.

Kommentieren


Folgen Sie uns
       


Blackberry Key 2 - Hands on

Das Key2 ist das Nachfolgemodell des Keyone. Das Grundprinzip ist gleich. Im unteren Gehäuseteil gibt es eine fest verbaute Hardware-Tastatur. Darüber befindet sich ein Display im 3:2-Format. Das Schreiben auf der Tastatur ist angenehm. Im Juli 2018 kommt das Key2 zum Preis von 650 Euro auf den Markt.

Blackberry Key 2 - Hands on Video aufrufen
Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt US-Regierung gibt der Nasa nicht mehr Geld für Mondflug

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

    •  /