• IT-Karriere:
  • Services:

Security: OpenBSD versteckt und enthüllt Dateisystemzugriffe

Zusätzlich zum Filtern von Systemaufrufen erstellt das Team von OpenBSD eine Technik, um Dateisystemzugriffe einer Anwendung weitgehend zu beschränken. Beide Techniken sollen sich ergänzen und das Ausführen von Anwendungen sicherer machen.

Artikel veröffentlicht am ,
Ein Kugelfisch ist das Maskottchen von OpenBSD.
Ein Kugelfisch ist das Maskottchen von OpenBSD. (Bild: George Parrilla/CC-BY 2.0)

Seit mehr als zwei Jahren steht in dem auf Sicherheit fokussierten Betriebssystem OpenBSD der Systemaufruf Pledge zur Verfügung, mit dem sich die erlaubten Funktionen einer Anwendung deutlich einschränken lassen, wie etwa der Aufruf bestimmter Systemaufrufe. Anwendungen haben dann aber immer noch theoretisch weiten Zugriff auf das Dateisystem. Letzteres soll mit dem neuen Werkzeug Unveil verhindert werden.

Stellenmarkt
  1. Possehl Spezialbau GmbH, Sprendlingen
  2. BASF Digital Solutions GmbH, Ludwigshafen

In der Erklärung dazu heißt es: "Der erste Aufruf von Unveil entfernt die Sichtbarkeit des gesamten Dateisystems von allen anderen dateisystembezogenen Systemaufrufen (wie Open, Chmod und Rename), außer dem angegebenen Pfad". Nachfolgende Aufrufe von Unveil können dann weitere Dateisystempfade freigeben, was den Namen leicht erklärt, der übersetzt Enthüllen bedeutet.

Das Werkzeug kann darüber hinaus dauerhaft zur weiteren Verwendung gesperrt werden, so dass Anwendungen keine weiteren Pfade für einen Zugriff öffnen können. Versucht eine Anwendung, auf einen Pfad zuzugreifen, der nicht für sie freigegeben ist, wird die mit einer Fehlermeldung des Systems quittiert und der Zugriff scheitert - wie zu erwarten. Über sogenannte Flags kann mit Unveil zudem festgelegt werden, welche Berechtigungen für die in dem Aufruf genutzten Pfade gelten sollen. Also ob die Operationen Lesen, Schreiben, Ausführen oder Erstellen von Dateien erlaubt sind.

Der OpenBSD-Entwickler Bob Beck stellt in einer Präsentation (PDF) auf einer Konferenz dar, dass Unveil gemeinsam mit Pledge verwendet werden soll. Wie bei Pledge ist es aber auch bei Unveil zunächst schwierig herauszufinden, welche Zugriffe einer Anwendung erlaubt sein müssen, damit diese richtig funktioniert. Laut Beck habe das Team dies bereits für etwa 40 Anwendungen aus dem Basissystem umgesetzt. Aktuellen Pläne zufolge könnte Unveil erstmals mit dem kommenden OpenBSD 6.4 stabil erscheinen, das im kommenden Herbst veröffentlicht werden soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,86€
  2. 5,99€

RipClaw 19. Jul 2018

Ich nutze bei Diensten die gerne Möglichkeiten von systemd. Dort kann man über...


Folgen Sie uns
       


Xbox Series S ausgepackt

Wir packen beide Konsolen aus und zeigen den Lieferumfang.

Xbox Series S ausgepackt Video aufrufen
Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

    •  /