• IT-Karriere:
  • Services:

Security: OpenBSD versteckt und enthüllt Dateisystemzugriffe

Zusätzlich zum Filtern von Systemaufrufen erstellt das Team von OpenBSD eine Technik, um Dateisystemzugriffe einer Anwendung weitgehend zu beschränken. Beide Techniken sollen sich ergänzen und das Ausführen von Anwendungen sicherer machen.

Artikel veröffentlicht am ,
Ein Kugelfisch ist das Maskottchen von OpenBSD.
Ein Kugelfisch ist das Maskottchen von OpenBSD. (Bild: George Parrilla/CC-BY 2.0)

Seit mehr als zwei Jahren steht in dem auf Sicherheit fokussierten Betriebssystem OpenBSD der Systemaufruf Pledge zur Verfügung, mit dem sich die erlaubten Funktionen einer Anwendung deutlich einschränken lassen, wie etwa der Aufruf bestimmter Systemaufrufe. Anwendungen haben dann aber immer noch theoretisch weiten Zugriff auf das Dateisystem. Letzteres soll mit dem neuen Werkzeug Unveil verhindert werden.

Stellenmarkt
  1. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  2. Kromberg & Schubert Automotive GmbH & Co. KG, Abensberg bei Regensburg

In der Erklärung dazu heißt es: "Der erste Aufruf von Unveil entfernt die Sichtbarkeit des gesamten Dateisystems von allen anderen dateisystembezogenen Systemaufrufen (wie Open, Chmod und Rename), außer dem angegebenen Pfad". Nachfolgende Aufrufe von Unveil können dann weitere Dateisystempfade freigeben, was den Namen leicht erklärt, der übersetzt Enthüllen bedeutet.

Das Werkzeug kann darüber hinaus dauerhaft zur weiteren Verwendung gesperrt werden, so dass Anwendungen keine weiteren Pfade für einen Zugriff öffnen können. Versucht eine Anwendung, auf einen Pfad zuzugreifen, der nicht für sie freigegeben ist, wird die mit einer Fehlermeldung des Systems quittiert und der Zugriff scheitert - wie zu erwarten. Über sogenannte Flags kann mit Unveil zudem festgelegt werden, welche Berechtigungen für die in dem Aufruf genutzten Pfade gelten sollen. Also ob die Operationen Lesen, Schreiben, Ausführen oder Erstellen von Dateien erlaubt sind.

Der OpenBSD-Entwickler Bob Beck stellt in einer Präsentation (PDF) auf einer Konferenz dar, dass Unveil gemeinsam mit Pledge verwendet werden soll. Wie bei Pledge ist es aber auch bei Unveil zunächst schwierig herauszufinden, welche Zugriffe einer Anwendung erlaubt sein müssen, damit diese richtig funktioniert. Laut Beck habe das Team dies bereits für etwa 40 Anwendungen aus dem Basissystem umgesetzt. Aktuellen Pläne zufolge könnte Unveil erstmals mit dem kommenden OpenBSD 6.4 stabil erscheinen, das im kommenden Herbst veröffentlicht werden soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Acer Nitro VG270Ubmiipx 27-Zoll-IPS WQHD 75Hz für 199€, Acer Predator Cestus 330 Gaming...
  2. (u. a. BenQ GL2780E 27-Zoll-LED FHD für 127,84€, Lenovo IdeaPad Flex 5 15,6-Zoll-FHD-IPS-Touch...
  3. 333€ (Vergleichspreis 388€)
  4. 49,99€ (Bestpreis!)

RipClaw 19. Jul 2018

Ich nutze bei Diensten die gerne Möglichkeiten von systemd. Dort kann man über...


Folgen Sie uns
       


Die Entstehung von Unix (Golem Geschichte)

Zwei Programmierer entwarfen nahezu im Alleingang eines der wichtigsten Betriebssysteme.

Die Entstehung von Unix (Golem Geschichte) Video aufrufen
Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


      •  /