Datenschleuder 091: Systeme mit Systrace härten

2007-08-08 2007-08-08   237 words   ~2 mins
#CCC #Artikel #VeriExec

Table of Contents

In der brandaktuellen Datenschleuder 91 des CCC ist mein Artikel zu Verified Executables abgedruckt worden.

Viel Spaß am Gerät ;-)

Abstract

Systrace ermöglicht die Überwachung und Steuerung von Systemaufrufen. Dazu benutzt es Richtlinien, die für jedes verwendete Programm definiert werden. Anhand dieser Richtlinie werden Systemaufrufe erlaubt oder verboten. Ebenso kann man einzelne Systemaufrufe unter anderen Benutzerrechten ausführen. Somit ist es möglich, SETUID-Programme als unpriviliegierter Benutzer auszuführen und nur bestimmte Systemaufrufe mit Root-Rechten auszuführen. Systrace erlaubt daher die Implementierung einer feingranulierten Sicherheitsrichtlinie, die sogar Argumente von Systemaufrufen überprüfen kann. Dieser Artikel beschreibt die Funktionsweise von Systrace, Aufbau und Erzeugung einer Richtlinie sowie den praktischen Einsatz anhand von zwei Beispielen auf NetBSD.

Download

http://ds.ccc.de/pdfs/ds091.pdf

Bibliographie

@article{Schumacher:DS:Systrace, IDS=“datenschleuder”, author = {Stefan Schumacher}, title = {Systeme mit Systrace härten}, year = {2007}, volume="#91", journaltitle=“Die Datenschleuder”, journalsubtitle=“Das wissenschaftliche Fachblatt für den Datenreisenden”, editor="{Chaos Computer Club}", address=“Hamburg”, pages=“40-48”, issn=“0930-1054”, url=“http://ds.ccc.de/pdfs/ds091.pdf", urldate=“2007-08-08”, abstract=“Systrace ermöglicht die Überwachung und Steuerung von Systemaufrufen. Dazu benutzt es Richtlinien, die für jedes verwendete Programm definiert werden. Anhand dieser Richtlinie werden Systemaufrufe erlaubt oder verboten. Ebenso kann man einzelne Systemaufrufe unter anderen Benutzerrechten ausführen. Somit ist es möglich, SETUID-Programme als unpriviliegierter Benutzer auszuführen und nur bestimmte Systemaufrufe mit Root-Rechten auszuführen. Systrace erlaubt daher die Implementierung einer feingranulierten Sicherheitsrichtlinie, die sogar Argumente von Systemaufrufen überprüfen kann. Dieser Artikel beschreibt die Funktionsweise von Systrace, Aufbau und Erzeugung einer Richtlinie sowie den praktischen Einsatz anhand von zwei Beispielen auf NetBSD. “, keywordss=“hacking;sicherheit;kernel;betriebssystem,steschum”, }

← prev next →