OpenBSD bekommt neuen Sicherheitsmechanismus

10.11.2015

Auf dem OpenBSD-Hackfest hat Theo de Raadt einen neuen Systemcall vorgestellt, mit dem sich Programme leichter absichern lassen. 

OpenBSD-Chef Theo de Raadt hat auf dem Hackfest 2015 einen neuen Systemcall vorgestellt, der dabei helfen soll, Userspace-Programme besser abzusichern. Der Systemaufruf namens "pledge()" (vorher "tame()") erlaubt es Programmen, die benötigten Zugriffsrechte vom Betriebssystem anzufordern, etwa für die Verwendung von Sockets oder das Schreiben ins Dateisystem. Seit der Implementierung des Systemcalls haben die OpenBSD-Entwickler schon etwa 70 Prozent der verfügbaren Programme mit dem Pledge-Call abgesichert, wöchentlich kommen laut de Raadt zwei bis drei neue dazu. Pledge ist vergleichsweise einfach zu verwenden und erfordert meist nur wenige Zeilen an Codeänderungen. 

Grundsätzlich hält Theo de Raadt solche Sicherheitsmechanismen nur für sinnvoll, wenn sie fest ins Betriebssystem integriert sind und sich nicht abschalten lassen. Deshalb seien optionale Lösungen wie SELinux nicht von praktischer Bedeutung. Auch BSD-Ansätze wie Systrace oder Capsicum haben sich aus unterschiedlichen Gründen nicht durchgesetzt. Die Implementierung von Secure Computing mit dem Extended Berkeley Packet Filter (eBPF) in Linux sei aufgrund der Komplexität keine gute Lösung. 

Dennoch habe OpenBSD im Lauf der Jahre zahlreiche erfolgreiche Maßnahmen zur Schadensbegrenzung (Mitigations) umgesetzt, die sich bewährt hätten, so de Raadt, etwa den Stack Protector, das Write-oder-Execute-Flag für Speicher (W^X), Adress Space Layout Randomization (ASLR), Malloc-Speicheranforderung mit Schutz und einige mehr. Das "Großmaul" Linux habe aber immer abgelehnt, diese Mechanismen in Linux zu übernehmen, wie es auch der letzte Woche in der Washington Post erschienene Artikel zu mangelhafter Sicherheit in Linux dokumentiert. Diesem Missstand will das ebenfalls letzte Woche gegründete Kernel Self Protection Project begegnen. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

OpenBSD droht mit "Licht aus"

Das OpenBSD-Projekt braucht Geld, um seine Stromrechnung zu bezahlen. Auf lange Sicht drohe sonst das aus.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020