Rechte über File-Capabilities einschränken
Im Zaun halten
Fazit
Die meiste Literatur zum Thema Posix-File-Capabilities befasst sich mit dem Thema, wie man normalen Nutzern beziehungsweise einzelnen Programmen mehr Rechte einräumen kann, ohne ihnen gleich die kompletten Root-Rechte zu überlassen.
In der Praxis setzen sich aber mit AppArmor [5] und vor allem mit SELinux [6] zwei Tools durch, die genau den umgekehrten Weg beschreiten: Sie entschärfen den Root-Account so weit, dass man im Idealfall auf einem Rechner selbst als Root keinen Schaden mehr anrichten kann.
So hat zum Beispiel der Australier Russell Coker einen mit SELinux abgesicherten Rechner ins Netz gestellt, für den der Root-Account per SSH für jedermann zugänglich ist [7]. Dennoch kann man auf dem Rechner praktisch nichts verändern. Über Capabilities jedoch den Root-Account zu entschärfen, ist nicht möglich.
Infos
- Posix-Erweiterungen: http://wt.xpilot.org/publications/posix.1e/
- Libcap2: http://www.kernel.org/pub/linux/libs/security/linux-privs/libcap2/
- Dokumentation: http://www.friedhoff.org/posixfilecaps.html
- Capabilities-Testmodul: http://www.friedhoff.org/downloads/capable_probe.tar.bz2
- Apparmor: http://de.opensuse.org/Apparmor
- SELinux: http://www.fedorawiki.de/index.php/SELinux
- SELinux-Testrechner: http://www.coker.com.au/selinux/play.html
Alle Angebote zum ADMIN-Magazin im Online-Shop
Versandartikel |
Onlineartikel |
