• IT-Karriere:
  • Services:

Security: OpenBSD versteckt und enthüllt Dateisystemzugriffe

Zusätzlich zum Filtern von Systemaufrufen erstellt das Team von OpenBSD eine Technik, um Dateisystemzugriffe einer Anwendung weitgehend zu beschränken. Beide Techniken sollen sich ergänzen und das Ausführen von Anwendungen sicherer machen.

Artikel veröffentlicht am ,
Ein Kugelfisch ist das Maskottchen von OpenBSD.
Ein Kugelfisch ist das Maskottchen von OpenBSD. (Bild: George Parrilla/CC-BY 2.0)

Seit mehr als zwei Jahren steht in dem auf Sicherheit fokussierten Betriebssystem OpenBSD der Systemaufruf Pledge zur Verfügung, mit dem sich die erlaubten Funktionen einer Anwendung deutlich einschränken lassen, wie etwa der Aufruf bestimmter Systemaufrufe. Anwendungen haben dann aber immer noch theoretisch weiten Zugriff auf das Dateisystem. Letzteres soll mit dem neuen Werkzeug Unveil verhindert werden.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. Stadtverwaltung Eisenach, Eisenach

In der Erklärung dazu heißt es: "Der erste Aufruf von Unveil entfernt die Sichtbarkeit des gesamten Dateisystems von allen anderen dateisystembezogenen Systemaufrufen (wie Open, Chmod und Rename), außer dem angegebenen Pfad". Nachfolgende Aufrufe von Unveil können dann weitere Dateisystempfade freigeben, was den Namen leicht erklärt, der übersetzt Enthüllen bedeutet.

Das Werkzeug kann darüber hinaus dauerhaft zur weiteren Verwendung gesperrt werden, so dass Anwendungen keine weiteren Pfade für einen Zugriff öffnen können. Versucht eine Anwendung, auf einen Pfad zuzugreifen, der nicht für sie freigegeben ist, wird die mit einer Fehlermeldung des Systems quittiert und der Zugriff scheitert - wie zu erwarten. Über sogenannte Flags kann mit Unveil zudem festgelegt werden, welche Berechtigungen für die in dem Aufruf genutzten Pfade gelten sollen. Also ob die Operationen Lesen, Schreiben, Ausführen oder Erstellen von Dateien erlaubt sind.

Der OpenBSD-Entwickler Bob Beck stellt in einer Präsentation (PDF) auf einer Konferenz dar, dass Unveil gemeinsam mit Pledge verwendet werden soll. Wie bei Pledge ist es aber auch bei Unveil zunächst schwierig herauszufinden, welche Zugriffe einer Anwendung erlaubt sein müssen, damit diese richtig funktioniert. Laut Beck habe das Team dies bereits für etwa 40 Anwendungen aus dem Basissystem umgesetzt. Aktuellen Pläne zufolge könnte Unveil erstmals mit dem kommenden OpenBSD 6.4 stabil erscheinen, das im kommenden Herbst veröffentlicht werden soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Cooler Master Masterkeys MK750 RGB für 109,90€ Gaming-Tastatur, Cooler Master...
  2. (u. a. 55SM8500PLA für 639,00€, 65SM8500PLA für 829,00€, 49SM8500PLA NanoCell für 579,00€)
  3. (u. a. ARK Survival Evolved für 6,99€, PSN Card 20 Euro für 18,49€)

RipClaw 19. Jul 2018

Ich nutze bei Diensten die gerne Möglichkeiten von systemd. Dort kann man über...


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Elektroauto-Prämie Regierung liefert Brüssel erste Daten zu neuem Umweltbonus
  2. Zulieferprobleme Audi will E-Tron-Produktion in Brüssel kürzen
  3. Jobverluste in der Autobranche E-Autos sind nicht an allem schuld

Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

    •  /