Version 0.1
Vortrag: Capabilities
Das vergessene Linux-Security-Feature
Mit den Capabilities bietet der Linux-Kernel schon seit längerem die Möglichkeit Rechte feingranularer zu vergeben, als nur Root- und Nicht-Root-Rechte. Bisher werden sie noch selten genutzt, dabei könnten sie die Sicherheit von Linux-Clients und -Servern erhöhen und gleichzeitig stellt das nicht-wissen über ihre Existenz eine Gefahr für die Sicherheit dar.
Beispiel: Ein NTP-Daemon muss die Zeit des Systems ändern, das dies ein normaler User nicht darf, läuft er üblicherweise mit Root-Rechten. Das heißt aber auch, der NTP-Daemon darf auch Dateisystem mounten, fremde Dateien löschen, Firewallregeln verändern, Festplatten formatieren, etc. Schaft es ein Angreifer nun durch einen Bufferoverflow in ntp Code einzuschleusen, so wird dieser mit den selben vollen Root-Rechten ausgeführt und darf somit auch all dies.
Mit den Capabilities bietet der Linux-Kernel die Möglichkeit dies feiner einzuschränken um im Idealfall jedem Prozess nur die Rechte einräumen die sie benötigen um ihren Dienst zu tun. Dies kann ähnlich zu den SUID-Bits in den Metadaten der Datei, mit Systemd oder mit anderen Werkzeugen geschehen.
Info
Tag:
22.04.2017
Anfang:
14:15 Uhr
Dauer:
00:45
Raum:
Raum C
Track:
Linux‐Interna und Anwendungen
Links:
Dateien
Concurrent Events
- Raum B
- Vom Digital Native zum Digital Naiv
- Raum A
- Nextcloud
Referenten
 |
Michael Schönitzer |