Systeme mit SELinux absichern

Geschützte Bereiche

Schwachstellen treten immer wieder in den unterschiedlichsten Softwarekomponenten auf. Mit SELinux steht ein mächtiges Werkzeug zur Verfügung, um Schaden auf den betroffenen Systemen zu minimieren. Leider wird die Kernel-Erweiterung auf vielen Systemen aus Unwissenheit immer wieder abgeschaltet. Warum dies keine gute Idee ist, erklärt der Open-Source-Tipp in diesem Monat.
Mitarbeiter wie auch die Unternehmensleitung setzen die Verfügbarkeit von IT-Diensten längst als selbstverständlich voraus. Ungeplante Ausfälle sind deshalb ... (mehr)

Fehlerhafter Programmcode kann schwerwiegende Folgen haben. Im schlimmsten Fall können Angreifer ganze Systeme übernehmen, ohne hierfür einen lokalen Zugang zu diesen Systemen zu benötigen. Möglich wird dies durch Softwarefehler, die eine Remote Code Execution (RCE) erlauben, also das Ausführen von Schadsoftware aus dem Netzwerk heraus. Wer lokalen Zugang zu Systemen besitzt, auf denen fehlerhafte Software installiert ist, dem eröffnen sich noch wesentlich weitreichendere Möglichkeiten, um Softwarefehler auszunutzen.

Schwachstellen in runC-Container-Runtime

Erst vor kurzem wurde im CVE-2021-30465 [1] ein Fehler in der Software runC [2] beschrieben. Die Software stellt eine Container-Runtime zur Verfügung, die auf Basis der Open-Container-Initiative-Spezifikation (OCI) Container verwaltet. Alle bekannten Container-Manager wie beispielsweise Docker, Podman oder CRI-O verwenden diese Runtime und setzen runC ein, meistens nicht direkt sichtbar für den Anwender. Ein Fehler in runC, der mittlerweile behoben ist, erlaubte einen sogenannten "symlink exchange"-Angriff, bei dem Angreifer das Dateisystem des Container-Hosts innerhalb eines beliebigen Containers, der von runC gestartet wurde, einbinden konnten.

Bereits vor zwei Jahren tauchte mit CVE-2019-5736 [3] ein Fehler für diese Software auf. Dieser hatte sogar noch schwerwiegendere Konsequenzen, da hiermit Container-Prozesse aus dem Container "ausbrechen" und beliebigen Programmcode auf dem Container-Host ausführen konnten. Somit war es Angreifern sogar möglich, root-Rechte auf dem Host zu erlangen, wenn der Container als root lief.

Solche und ähnliche Fehler passieren leider immer wieder. Die gute Nachricht ist jedoch, dass Linux von Haus aus ein mächtiges Sicherheitswerkzeug mitbringt, mit dem sich solche Fehler entweder komplett oder zumindest teilweise verhindern lassen. Im Folgenden erklären wir

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021