Original-URL des Artikels: https://www.golem.de/news/security-openbsd-versteckt-und-enthuellt-dateisystemzugriffe-1807-135566.html    Veröffentlicht: 19.07.2018 12:25    Kurz-URL: https://glm.io/135566

Security

OpenBSD versteckt und enthüllt Dateisystemzugriffe

Zusätzlich zum Filtern von Systemaufrufen erstellt das Team von OpenBSD eine Technik, um Dateisystemzugriffe einer Anwendung weitgehend zu beschränken. Beide Techniken sollen sich ergänzen und das Ausführen von Anwendungen sicherer machen.

Seit mehr als zwei Jahren steht in dem auf Sicherheit fokussierten Betriebssystem OpenBSD der Systemaufruf Pledge zur Verfügung, mit dem sich die erlaubten Funktionen einer Anwendung deutlich einschränken lassen, wie etwa der Aufruf bestimmter Systemaufrufe. Anwendungen haben dann aber immer noch theoretisch weiten Zugriff auf das Dateisystem. Letzteres soll mit dem neuen Werkzeug Unveil verhindert werden.

In der Erklärung dazu heißt es: "Der erste Aufruf von Unveil entfernt die Sichtbarkeit des gesamten Dateisystems von allen anderen dateisystembezogenen Systemaufrufen (wie Open, Chmod und Rename), außer dem angegebenen Pfad". Nachfolgende Aufrufe von Unveil können dann weitere Dateisystempfade freigeben, was den Namen leicht erklärt, der übersetzt Enthüllen bedeutet.

Das Werkzeug kann darüber hinaus dauerhaft zur weiteren Verwendung gesperrt werden, so dass Anwendungen keine weiteren Pfade für einen Zugriff öffnen können. Versucht eine Anwendung, auf einen Pfad zuzugreifen, der nicht für sie freigegeben ist, wird die mit einer Fehlermeldung des Systems quittiert und der Zugriff scheitert - wie zu erwarten. Über sogenannte Flags kann mit Unveil zudem festgelegt werden, welche Berechtigungen für die in dem Aufruf genutzten Pfade gelten sollen. Also ob die Operationen Lesen, Schreiben, Ausführen oder Erstellen von Dateien erlaubt sind.

Der OpenBSD-Entwickler Bob Beck stellt in einer Präsentation (PDF) auf einer Konferenz dar, dass Unveil gemeinsam mit Pledge verwendet werden soll. Wie bei Pledge ist es aber auch bei Unveil zunächst schwierig herauszufinden, welche Zugriffe einer Anwendung erlaubt sein müssen, damit diese richtig funktioniert. Laut Beck habe das Team dies bereits für etwa 40 Anwendungen aus dem Basissystem umgesetzt. Aktuellen Pläne zufolge könnte Unveil erstmals mit dem kommenden OpenBSD 6.4 stabil erscheinen, das im kommenden Herbst veröffentlicht werden soll.  (sg)


Verwandte Artikel:
Sicherheitsbedenken: OpenBSD deaktiviert Intels Hyper-Threading-Technik   
(20.06.2018, https://glm.io/135050 )
Betriebssystem: OpenBSD 5.9 filtert weitgehend Systemaufrufe   
(30.03.2016, https://glm.io/120030 )
Microsoft: OpenBSD kommt für die Azure-Cloud   
(09.06.2017, https://glm.io/128295 )
Unix: OpenBSD 6.3 schützt vor Meltdown und Spectre   
(03.04.2018, https://glm.io/133644 )
Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter   
(22.01.2018, https://glm.io/132298 )

© 1997–2019 Golem.de, https://www.golem.de/