Anwendungen absichern - Sandboxen im Userspace

Das Modul Landlock trägt seinen Namen nicht zufällig. Landlocked Countries sind Binnenstaaten, also Länder ohne Zugang zum Meer, weil sie von anderen Ländern eingeschlossen sind.

Stellenmarkt
  1. Product Owner Buchungsmanagement (m/w/d)
    Haufe Group, Freiburg im Breisgau
  2. Administrator Security-Operations (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
Detailsuche

Als neues Linux Security Module richtet sich Landlock an Anwendungsentwickler und limitiert die Zugriffsrechte unprivilegierter Anwendungen - etwa den Zugriff auf das globale Dateisystem. Es will so die systemweiten Zugriffskontrollen ergänzen und ermöglichen, Sandboxen als neuen Security-Layer zu erstellen, um unerwartetem oder bösartigem Verhalten von Userspace-Anwendungen einen Riegel vorzuschieben.

Laut der Release-Mitteilung lässt sich Landlock dabei von Seccomp-BPF inspirieren, filtert allerdings nicht die System Calls und ihre Argumente, sondern reguliert den Zugriff auf Kernelobjekte wie Dateihierarchien. Dabei inspiriert sich die Software bei XNU Sandbox (Apple), Capsicum (Free BSD) und Pledge/Unveil (Open BSD) und füllt so quasi blinde Flecken von Seccomp. Noch fehlen der Software einige Features zur Zugriffskontrolle, auch, um die Review zu erleichtern. Doch schon jetzt deckt Landlock laut Release-Mitteilung eine Reihe von Anwendungsszenarien ab.

Kurven und Hashes

In Sachen Sicherheit ist Landlock aber nicht die einzige Neuerung von Linux 5.13. So beherrscht der neue Kernel laut Herbert Xu, Principal Software Engineer bei Red Hat, den Elliptic Curve Digital Signature Algorithm (ECDSA), eine DSA-Variante, die Elliptische-Kurven-Kryptografie verwendet. Ebenfalls um Sicherheit geht es bei den Patches für SELinux: Ein Messen des SELinux-Zustands und der Richtlinien-Fähigkeiten ist neuerdings über die Integrity Measurement Architecture (IMA) möglich. Dieses Linux-Subsystem erzeugt Hashes von Dateien und Programmen, um deren Integrität im Auge zu behalten. Zugleich lässt sich der SELinux-Zustand eines Mounts mit Hilfe einer Reihe von Mount-Optionen abgleichen, was bei so genannten Kontext-Mounts von NFS und SELinux hilft.

Verschlüsselte VMs

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  3. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Ebenfalls in den Security-Bereich fällt ein größeres Update, das Paolo Bonzini für KVM ankündigt. Es betrifft AMDs Platform Security Processor (PSP), auch bekannt als AMD Secure Technology. Bei PSP handelt es sich um ein Trusted Execution Environment Subsystem (TEE), das seit 2013 im AMD-Chips steckt und das Kritiker - ähnlich wie Intels Management Engine - für eine potenzielle Backdoor der NSA, aber zumindest für ein Sicherheitsrisiko, halten.

Die Änderungen an PSP betreffen den Treiber und den Umgang mit AMDs Secure Encryption Virtualization (SEV), das den Betrieb verschlüsselter VMs ermöglicht. AMDs SEV erlaubt es zum Beispiel, bestimmte Speicher-Pages zu verschlüsseln sowie alle CPU-Register, sobald eine VM stoppt (SEV ES).

Eine weitere KVM-Baustelle: ARMs Coresight erhält Support für die Embedded Trace Extension (ETE), eine Trace Unit für CPUs sowie für die Trace Buffer Extension (TRBE), die einen Trace Buffer pro CPU bereitstellt, den Entwickler über die Systemregister erreichen.

Dateien mit System

CIFS, die Erweiterung des Netzwerk-Dateisystems Samba, bringt im neuen Kernel Shutdown-Support mit und kommt besser mit Zugriffen auf Dateien zurecht, um diese etwa verzögert zu schließen.

Das Flash-Dateisystem F2FS hingegen erhält mit checkpoint merge eine neue Mount-Option, die bewirkt, dass sich ein Kernelthread um die F2FS-Checkpoints kümmert und gegebenenfalls deren Priorität im Prozess-Kontext senkt. Die Checkpoints kennen sämtliche Dateisystem-Operationen und sollen die Dateisystem-Integrität von F2FS bewahren.

Ext4 kommt hingegen neuerdings mit Encrypted Casefolding zurecht, macht also auch bei verschlüsselten Dateien keinen Unterschied mehr zwischen "Dateiname" und "DateiNAME". Das Casefold-Feature hilft unter anderem beim Portieren von Windows-Spielen auf Linux. Zugleich überschreibt Ext4 in den Directory Blocks die Directory-Einträge für gelöschte Verzeichnisse mit Nullen, wenn letztere verschoben oder gelöscht (entkoppelt) werden.

Platz von einer Allocation Group zu entfernen, ist für Darrick Wong neben einigen Performance-Optimierungen die auffälligste Neuerung für das Dateisystem XFS in dieser Entwicklungsrunde. Dies sei der erste Schritt auf dem Weg dahin, ein vollständig verkleinerbares Dateisystem zu erzeugen, brauche aber eben noch eine Reihe weiterer Änderungen.

Neues auch für ARM64

Hilfreich ist auch ein neues Feature für den ARM64-Kernel. Darin landete endlich der Support für den Bau von Kernel mit Clangs aktivierter Control Flow Integrity. Laut Kees Cook kommt das Compiler-Flag in der Praxis bereits seit drei Jahren für Android-Kernel zum Einsatz. Es ergänzt Programme um einige Mechanismen, die den Einsatz von Malware erschweren. Die Idee ist, dass ein Programm seine Arbeit einstellt, sobald bestimmte Formen undefinierten Verhaltens auftreten, die den Control Flow des Programms untergraben können.

Künftig sollen auch Programme auf x86-Systemen von dieser ARM64-Entwicklung profitieren und sich mit dieser Clang-Option übersetzen lassen. Das Feature sei zwar noch in Entwicklung, aber schon ziemlich weit fortgeschritten, heißt es in der Mitteilung.

Paket-Filter-Änderungen: Übersehenes Problem?

Auch in Sachen Berkeley Packet Filter (BPF) gibt es eine vielbeachtete Neuerung: BPF-Programme können nun bestimmte Kernelfunktionen direkt aufrufen, etwa tcp_slow_start(), was zuvor nicht möglich war. Trotz der derzeitigen Beschränkung auf die TCP Congestion-Control-Algorithmen sieht LWN.net-Autor und Kerneldokumentar Jonathan Corbet dadurch auch zukünftige Probleme entstehen: Was passiert eigentlich, wenn ein wichtiges BPF-Programm auf eine Kernel-Funktion vertraut, die sich plötzlich ändert?

Für Corbet ist es problematisch. dass die neue Funktionalität kein Teil der Kernel-ABI ist. Zudem seien die BPF Helper dafür vorgesehen, von außen aufgerufen zu werden. Das BPF-Subsystem prüft BPF-Programme laut Corbet zwar intensiv, er bezweifelt aber, dass das Subsystem die inneren Mechanismen sämtlicher Kernelfunktionen kennt und alle Angriffsvektoren absehen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Linux: Kernel 5.13 ist fertigUnd nicht mehr dabei ist ... 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Enuu
Bürgersteig-Parken führt zu Aus von Mini-Autos

Die vierrädrigen Kabinenroller von Enuu werden in Berlin auf Bürgersteigen geparkt, was Ärger verursacht. Nun verschwinden die Elektrofahrzeuge wieder.

Enuu: Bürgersteig-Parken führt zu Aus von Mini-Autos
Artikel
  1. Windows 11: Microsoft bringt neues Design von Paint und Fotos
    Windows 11
    Microsoft bringt neues Design von Paint und Fotos

    Microsoft Paint und Fotos werden in Windows 11 etwas anders aussehen. Statt der Ribbons wird es neue Symbole und Menüanordnungen geben.

  2. Arbeit: LinkedIn Mitarbeiter dürfen für immer im Homeoffice bleiben
    Arbeit
    LinkedIn Mitarbeiter dürfen für immer im Homeoffice bleiben

    Die meisten der 16.000 LinkedIn-Mitarbeiter dürfen künftig Vollzeit von zu Hause aus arbeiten. Das könnte aber zu Einkommenseinbußen führen.

  3. Smartphones und Tablets: Google limitiert Funktion alter Android-Geräte
    Smartphones und Tablets
    Google limitiert Funktion alter Android-Geräte

    Wer heute immer noch ein Android-Gerät mit der Version 2.3.7 oder sogar darunter verwendet, wird bald Probleme mit den Google-Apps bekommen.

Steffo 29. Jun 2021 / Themenstart

Der Begriff "Support" ist ganz schön übertrieben. Viel mehr als Booten und ein paar...

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • Samsung Odyssey G5 (34 Zoll, 165 Hz) 399€ • 15% auf Xiaomi-Technik • McAfee Total Protection ab 15,99€ • Saturn: 1 Produkt zahlen, 2 erhalten • Final Fantasy VII HD Remake PS4 25,64€ [Werbung]
    •  /