Anwendungen absichern - Sandboxen im Userspace

Das Modul Landlock trägt seinen Namen nicht zufällig. Landlocked Countries sind Binnenstaaten, also Länder ohne Zugang zum Meer, weil sie von anderen Ländern eingeschlossen sind.

Stellenmarkt
  1. IT Expert Business Systems (m/w/d)
    teamtechnik Maschinen und Anlagen GmbH, Freiberg (Neckar)
  2. Trainee Softwareentwicklung (m/w/d)
    andagon people GmbH, Köln
Detailsuche

Als neues Linux Security Module richtet sich Landlock an Anwendungsentwickler und limitiert die Zugriffsrechte unprivilegierter Anwendungen - etwa den Zugriff auf das globale Dateisystem. Es will so die systemweiten Zugriffskontrollen ergänzen und ermöglichen, Sandboxen als neuen Security-Layer zu erstellen, um unerwartetem oder bösartigem Verhalten von Userspace-Anwendungen einen Riegel vorzuschieben.

Laut der Release-Mitteilung lässt sich Landlock dabei von Seccomp-BPF inspirieren, filtert allerdings nicht die System Calls und ihre Argumente, sondern reguliert den Zugriff auf Kernelobjekte wie Dateihierarchien. Dabei inspiriert sich die Software bei XNU Sandbox (Apple), Capsicum (Free BSD) und Pledge/Unveil (Open BSD) und füllt so quasi blinde Flecken von Seccomp. Noch fehlen der Software einige Features zur Zugriffskontrolle, auch, um die Review zu erleichtern. Doch schon jetzt deckt Landlock laut Release-Mitteilung eine Reihe von Anwendungsszenarien ab.

Kurven und Hashes

In Sachen Sicherheit ist Landlock aber nicht die einzige Neuerung von Linux 5.13. So beherrscht der neue Kernel laut Herbert Xu, Principal Software Engineer bei Red Hat, den Elliptic Curve Digital Signature Algorithm (ECDSA), eine DSA-Variante, die Elliptische-Kurven-Kryptografie verwendet. Ebenfalls um Sicherheit geht es bei den Patches für SELinux: Ein Messen des SELinux-Zustands und der Richtlinien-Fähigkeiten ist neuerdings über die Integrity Measurement Architecture (IMA) möglich. Dieses Linux-Subsystem erzeugt Hashes von Dateien und Programmen, um deren Integrität im Auge zu behalten. Zugleich lässt sich der SELinux-Zustand eines Mounts mit Hilfe einer Reihe von Mount-Optionen abgleichen, was bei so genannten Kontext-Mounts von NFS und SELinux hilft.

Verschlüsselte VMs

Golem Karrierewelt
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Ebenfalls in den Security-Bereich fällt ein größeres Update, das Paolo Bonzini für KVM ankündigt. Es betrifft AMDs Platform Security Processor (PSP), auch bekannt als AMD Secure Technology. Bei PSP handelt es sich um ein Trusted Execution Environment Subsystem (TEE), das seit 2013 im AMD-Chips steckt und das Kritiker - ähnlich wie Intels Management Engine - für eine potenzielle Backdoor der NSA, aber zumindest für ein Sicherheitsrisiko, halten.

Die Änderungen an PSP betreffen den Treiber und den Umgang mit AMDs Secure Encryption Virtualization (SEV), das den Betrieb verschlüsselter VMs ermöglicht. AMDs SEV erlaubt es zum Beispiel, bestimmte Speicher-Pages zu verschlüsseln sowie alle CPU-Register, sobald eine VM stoppt (SEV ES).

Eine weitere KVM-Baustelle: ARMs Coresight erhält Support für die Embedded Trace Extension (ETE), eine Trace Unit für CPUs sowie für die Trace Buffer Extension (TRBE), die einen Trace Buffer pro CPU bereitstellt, den Entwickler über die Systemregister erreichen.

Dateien mit System

CIFS, die Erweiterung des Netzwerk-Dateisystems Samba, bringt im neuen Kernel Shutdown-Support mit und kommt besser mit Zugriffen auf Dateien zurecht, um diese etwa verzögert zu schließen.

Das Flash-Dateisystem F2FS hingegen erhält mit checkpoint merge eine neue Mount-Option, die bewirkt, dass sich ein Kernelthread um die F2FS-Checkpoints kümmert und gegebenenfalls deren Priorität im Prozess-Kontext senkt. Die Checkpoints kennen sämtliche Dateisystem-Operationen und sollen die Dateisystem-Integrität von F2FS bewahren.

Ext4 kommt hingegen neuerdings mit Encrypted Casefolding zurecht, macht also auch bei verschlüsselten Dateien keinen Unterschied mehr zwischen "Dateiname" und "DateiNAME". Das Casefold-Feature hilft unter anderem beim Portieren von Windows-Spielen auf Linux. Zugleich überschreibt Ext4 in den Directory Blocks die Directory-Einträge für gelöschte Verzeichnisse mit Nullen, wenn letztere verschoben oder gelöscht (entkoppelt) werden.

Platz von einer Allocation Group zu entfernen, ist für Darrick Wong neben einigen Performance-Optimierungen die auffälligste Neuerung für das Dateisystem XFS in dieser Entwicklungsrunde. Dies sei der erste Schritt auf dem Weg dahin, ein vollständig verkleinerbares Dateisystem zu erzeugen, brauche aber eben noch eine Reihe weiterer Änderungen.

Neues auch für ARM64

Hilfreich ist auch ein neues Feature für den ARM64-Kernel. Darin landete endlich der Support für den Bau von Kernel mit Clangs aktivierter Control Flow Integrity. Laut Kees Cook kommt das Compiler-Flag in der Praxis bereits seit drei Jahren für Android-Kernel zum Einsatz. Es ergänzt Programme um einige Mechanismen, die den Einsatz von Malware erschweren. Die Idee ist, dass ein Programm seine Arbeit einstellt, sobald bestimmte Formen undefinierten Verhaltens auftreten, die den Control Flow des Programms untergraben können.

Künftig sollen auch Programme auf x86-Systemen von dieser ARM64-Entwicklung profitieren und sich mit dieser Clang-Option übersetzen lassen. Das Feature sei zwar noch in Entwicklung, aber schon ziemlich weit fortgeschritten, heißt es in der Mitteilung.

Paket-Filter-Änderungen: Übersehenes Problem?

Auch in Sachen Berkeley Packet Filter (BPF) gibt es eine vielbeachtete Neuerung: BPF-Programme können nun bestimmte Kernelfunktionen direkt aufrufen, etwa tcp_slow_start(), was zuvor nicht möglich war. Trotz der derzeitigen Beschränkung auf die TCP Congestion-Control-Algorithmen sieht LWN.net-Autor und Kerneldokumentar Jonathan Corbet dadurch auch zukünftige Probleme entstehen: Was passiert eigentlich, wenn ein wichtiges BPF-Programm auf eine Kernel-Funktion vertraut, die sich plötzlich ändert?

Für Corbet ist es problematisch. dass die neue Funktionalität kein Teil der Kernel-ABI ist. Zudem seien die BPF Helper dafür vorgesehen, von außen aufgerufen zu werden. Das BPF-Subsystem prüft BPF-Programme laut Corbet zwar intensiv, er bezweifelt aber, dass das Subsystem die inneren Mechanismen sämtlicher Kernelfunktionen kennt und alle Angriffsvektoren absehen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Linux: Kernel 5.13 ist fertigUnd nicht mehr dabei ist ... 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Mojo Lens
Erster Tragetest mit Augmented-Reality-Kontaktlinse

Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
Artikel
  1. Ouca Bikes: E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder
    Ouca Bikes
    E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder

    Ouca Bikes hat ein elektrisches Lastenrad vorgestellt, das eine Zuladung von rund 250 kg transportieren kann. Das E-Bike fährt auf drei Rädern.

  2. Bill Nelson: Nasa-Chef warnt vor chinesischem Weltraumprogramm
    Bill Nelson
    Nasa-Chef warnt vor chinesischem Weltraumprogramm

    Gibt es Streit um den Mond? Nasa-Chef Bill Nelson fürchtet, dass China den Trabanten als militärischen Außenposten für sich haben möchte.

  3. Microsoft: Exchange Server von gut versteckter Hintertür betroffen
    Microsoft
    Exchange Server von gut versteckter Hintertür betroffen

    Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. G.Skill Trident Z Neo 32 GB DDR4-3600 149€ und Patriot P300 512 GB M.2 39€) • Alternate (u. a. Acer Nitro XZ270UP QHD/165 Hz 246,89€ und Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Alterrnate Weekend Sale [Werbung]
    •  /