Abo
  • IT-Karriere:

Security: OpenBSD versteckt und enthüllt Dateisystemzugriffe

Zusätzlich zum Filtern von Systemaufrufen erstellt das Team von OpenBSD eine Technik, um Dateisystemzugriffe einer Anwendung weitgehend zu beschränken. Beide Techniken sollen sich ergänzen und das Ausführen von Anwendungen sicherer machen.

Artikel veröffentlicht am ,
Ein Kugelfisch ist das Maskottchen von OpenBSD.
Ein Kugelfisch ist das Maskottchen von OpenBSD. (Bild: George Parrilla/CC-BY 2.0)

Seit mehr als zwei Jahren steht in dem auf Sicherheit fokussierten Betriebssystem OpenBSD der Systemaufruf Pledge zur Verfügung, mit dem sich die erlaubten Funktionen einer Anwendung deutlich einschränken lassen, wie etwa der Aufruf bestimmter Systemaufrufe. Anwendungen haben dann aber immer noch theoretisch weiten Zugriff auf das Dateisystem. Letzteres soll mit dem neuen Werkzeug Unveil verhindert werden.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Köln
  2. Evangelische Landeskirche in Württemberg, Stuttgart

In der Erklärung dazu heißt es: "Der erste Aufruf von Unveil entfernt die Sichtbarkeit des gesamten Dateisystems von allen anderen dateisystembezogenen Systemaufrufen (wie Open, Chmod und Rename), außer dem angegebenen Pfad". Nachfolgende Aufrufe von Unveil können dann weitere Dateisystempfade freigeben, was den Namen leicht erklärt, der übersetzt Enthüllen bedeutet.

Das Werkzeug kann darüber hinaus dauerhaft zur weiteren Verwendung gesperrt werden, so dass Anwendungen keine weiteren Pfade für einen Zugriff öffnen können. Versucht eine Anwendung, auf einen Pfad zuzugreifen, der nicht für sie freigegeben ist, wird die mit einer Fehlermeldung des Systems quittiert und der Zugriff scheitert - wie zu erwarten. Über sogenannte Flags kann mit Unveil zudem festgelegt werden, welche Berechtigungen für die in dem Aufruf genutzten Pfade gelten sollen. Also ob die Operationen Lesen, Schreiben, Ausführen oder Erstellen von Dateien erlaubt sind.

Der OpenBSD-Entwickler Bob Beck stellt in einer Präsentation (PDF) auf einer Konferenz dar, dass Unveil gemeinsam mit Pledge verwendet werden soll. Wie bei Pledge ist es aber auch bei Unveil zunächst schwierig herauszufinden, welche Zugriffe einer Anwendung erlaubt sein müssen, damit diese richtig funktioniert. Laut Beck habe das Team dies bereits für etwa 40 Anwendungen aus dem Basissystem umgesetzt. Aktuellen Pläne zufolge könnte Unveil erstmals mit dem kommenden OpenBSD 6.4 stabil erscheinen, das im kommenden Herbst veröffentlicht werden soll.



Anzeige
Hardware-Angebote
  1. 249,00€ + Versand
  2. 399€ (Wert der Spiele rund 212€)
  3. täglich neue Deals bei Alternate.de

RipClaw 19. Jul 2018

Ich nutze bei Diensten die gerne Möglichkeiten von systemd. Dort kann man über...


Folgen Sie uns
       


Oneplus 7 Pro - Hands On

Das Oneplus 7 Pro ist das neue Oberklasse-Smartphone des chinesischen Startups. Es verfügt über drei Kameras auf der Rückseite und eine ausfahrbare Frontkamera. Das Smartphone erscheint im Mai zu Preisen ab 710 Euro.

Oneplus 7 Pro - Hands On Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /