5 Zugriffsschutz. soll unerwünschte Zugriffe von Subjekten auf Objekte verhindern. (access protection, access control) Beispiele:

Transkript

1 5 Zugriffsschutz (access protection, access control) soll unerwünschte Zugriffe von Subjekten auf Objekte verhindern Beispiele: Prozessor überschreibt Speicherzelle: CLEAR 0 Benutzer erweitert Paßwortdatei: append /etc/passwd Prozeß sucht in geheimem Verzeichnis: stat("secret/file",buf Benutzer will auf Farbdrucker drucken: lpr Pcsi picture.ps

2 Objekte, für deren Schutz Hardware und Betriebssystem verantwortlich sind: reale und virtuelle Ressourcen (resources): real: Prozessoren Arbeitsspeicher Peripherie virtuell: Prozesse Seiten E/A-Ströme Threads Segmente = realisiert mittels

3 5.1 Speicherschutz (memory protection) stellt sicher, daß ein Prozessor/Prozeß als Subjekt nicht unerwünschterweis aus einer Speicherzelle lesen kann, den Inhalt einer Speicherzelle ändern kann, den Inhalt einer Speicherzelle als Befehl ausführen kann, auf ein Peripheriegerät zugreifen kann, wird ermöglicht durch Prozessor-Hardware, wird unterstützt durch Betriebssystem.

4 5.1.1 Hardware-Speicherschutz wird auf Segmente des virtuellen Speichers bezogen (die zwecks effizienter Speicherverwaltung in Seiten aufgeteilt sind): Prozessor arbeitet normalerweise in virtuellem Adreßraum, der durch die aktuelle Adreßabbildung gemäß MMU definiert ist. Zugriff grundsätzlich nicht außerhalb der Segmente des Adreßraums. Segmentdeskriptoren in der MMU enthalten je ein Bit für R (read) Leserecht, W (write) Schreibrecht, X (execute) Ausführungsrecht. Bei jedem Speicherzugriff überprüft die Hardware, ob im Deskriptor des Segments, in dem die Zelle liegt, das für den Zugriff erforderliche Rechte-Bit gesetzt ist.

5 Zugriff auf Peripheriegerät ist genau dann möglich, wenn Alternative 1 (memory-mapped I/O): der virtuelle Adreßraum die Geräteregister umfaßt und die notwendigen Rechte-Bits gesetzt sind; Alternative 2 (privilegierte E/A-Befehle): der Prozessor im privilegierten Zustand läuft. Kontrollierte Änderung der Zugriffsrechte des Prozessors durch Unterbrechung (interrupt) mit 1. Adreßraumwechsel, 2. Wechsel des Prozessorstatus (privilegiert nichtprivilegiert) 3. weiterer Befehlsausführung an vorgeplanter Stelle. Achtung! Bei Systemaufruf Sicherheitsrisiko Pufferüberlauf (2.8

6 5.1.2 Speicherschutz für Prozesse Betriebssystem verwaltet Adreßräume der Prozesse: für jeden Prozeß führt das Betriebssystem eine Segmentliste (memory map) mit Einträgen R W X Segmentdeskriptor in Segmenttabelle bei Prozeßwechsel wird MMU gemäß der Segmentliste neu geladen (nur im privilegierten Zustand möglich!) ( viele Varianten möglich)

7 Einrichtung und Änderung des Adreßraums: Einrichten beim Laden eines Programms gemäß den Angaben in der Programmdatei Ändern in kontrollierter Form durch Systemaufrufe, z.b. in Unix brk(limit) ändert Länge des Datensegments address = mmap(addr,len,prot,flags,seg,off) Segment einblenden bzw. erzeugen; (genauer: Seiten eines Speicherobjekts ) mprotect(addr,len,prot) ändert Rechte des Prozesses an einem Segmen (genauer: an den Seiten eines Speicherobjekts )

8 5.2 Autorisierung eines Prozesses - auch Sicherheitsprofil, Autorisierungsprofil, Privilegien -! Autorisierung nicht mit Authentisierung verwechseln! gehört zu den Attributen eines Prozesses steuert die Zulässigkeit von Systemaufrufen, und damit den Zugriff auf Systemobjekte (z.b. Dateien), besteht typischerweise aus Benutzernummer, Gruppennummer, Sicherheitsstufe (clearance), Rolle,...

9 Beispiel Unix/Solaris: Jeder Benutzer hat einen Namen (Benutzerkennung, 4.1) und ist einer benannten Benutzergruppe zugeordnet. Systemintern werden Benutzer und Gruppen durch Nummern identifiziert, die man in den Einträgen von /etc/passwd und /etc/group finden kann: UID - user identifier GID - group identifier ( 0 für Systemverwalter root ( 0 für Systemgruppe wheel) Jeder Benutzer gehört zu einer Primärgruppe, die in der Paßwortdatei für ihn vermerkt ist, kann aber weiteren Gruppen angehören gemäß den Angaben in der Gruppendatei, z.b. prof:password:gid:alt,fehr,graf,...

10 Attribute zur Autorisierung eines Prozesses in Unix/Solaris: RUID (real user id) EUID (effective user id) - UID des Prozeßerzeugers - UID für Schutz-Entscheidungen RGID (real group id) EGID (effective group id) - GID des Prozeßerzeugers - GID für Schutz-Entscheidungen Scheduling-Klasse - RT oder TS oder IA

11 Initialisierung der Autorisierung: login su name newgrp name Angaben in Paßwortdatei bestimmen RUID/EUID und RGID/EGID ( substitute user ) wie login, neue Shell neue Shell mit neuer RGID/EGID fork übernimmt Attribute vom Erzeugerprozeß... weitere

12 Kontrollierte Änderung der Autorisierung (durch Autorisierung geschützt!) nice(incr) Prozeßpriorität verändern Vor.: Scheduling-Klasse = TS und Priorität wird verringert oder EUID = 0 kill(pid,sig) Software-Unterbrechung (signal) auslösen Vor.: EUID = EUID des Zielprozesses oder EUID = 0

13 priocntl(...) Scheduling-Klasse verändern, weitere Scheduling-bezogene Maßnahmen Vor.:..... setuid(uid) RUID und EUID auf uid setzen Vor.: uid = RUID oder uid = EUID oder EUID = 0 setgid(gid)(analog) RGID und EGID auf gid setzen Vor.: gid = RGID oder gid = EGID oder EUID = 0 (zugehörige ungeschützte Abfragen: getuid(), geteuid(),..

14 Veränderung der Autorisierung auch durch exec(prog,...) gemäß den Dateiattributen ( ) der Programmdatei prog: suid (setuid bit), sgid (setgid bit), uid ( = UID des Datei-Eigners), gid ( = GID einer Eigner-Gruppe) wie folgt: wenn suid, dann EUID auf uid setzen; wenn guid, dann EGID auf gid setzen. Ziel: kontrollierte Änderung der Autorisierung - gebunden an die Ausführung eines bestimmten Programms

15 Variante in Solaris: Prozeß hat zusätzlich zu RUID/EUID/RGID/EGID saved -Versionen SUID/SGID und damit setuid(uid) EUID auf uid setzen; RUID auf uid setzen falls EUID = 0 Vor.: uid = RUID oder uid = SUID oder EUID = 0 setgid(gid) (analog) EGID auf gid setzen; RGID auf gid setzen falls EGID = 0 Vor.: gid = RGID oder gid = SGID oder EUID = 0 (Weitere Varianten in Posix-Standard, Linux,... )

16 5.3 Dateischutz Zu den Attributen einer Datei gehört u.a. der Schutzstatus (protection mode, access control list, ACL) Für bestimmte Dateioperationen überprüft das Zugriffsschutzsystem des Betriebssystems beim Zugriffswunsch eines Prozesses die Autorisierung des Prozesses, den Schutzstatus der Datei, die Operation und ihre Argumente und entscheidet, ob der Zugriff erlaubt wird (andernfalls Fehlercode...).

17 Schutzsystem kennt Menge von Rechten R (rights, permissions) Menge von Operationen O (operations) Abbildung β : O 2 R (alternativ: O R) die jeder Operation o O die für ihre Ausführung erforderlichen Rechte β(o) zuordnet (required right (z.b. update erfordert Rechte read und write ) Schutzstatus enthält Abbildung ρ : A 2 R die festlegt, welche Rechte ein Prozeß mit gegebener Autorisierung a A a der Datei hat, und damit, welche Operationen er auf der Datei ausführen da Ausführung von Operation o durch Prozeß mit Autorisierung a erlaubt, wenn der Prozeß die für o erforderlichen Rechte hat: ρ(a) β(o)

18 (Hypothetisches) Beispiel : Operationen erforderliche Rech Dateityp: sequentiell indexsequentiell Verzeichnis lookup search search read list list read append add insert link,create search, add write write update,delete rename,remove search, write erase clear clear clear protect protect protect protect (= change protectio

19 5.3.1 Dateischutz in Unix Rechte: R = { read, write, execute, search, protect, pass } Autorisierung eines Prozesses: 5.2 Schutzstatus einer Datei: Rechte eines Prozesses an einer Datei: Erforderliche Rechte für Dateioperationen:

20 Schutzstatus einer Datei uid gid des Eigners einer Eignergruppe suid setuid bit sgid setgid bit r o read bit w o write bit für Eigner (owner) x o execute bit r g read bit w g write bit für Eignergruppe (group) ohne Eigner x g execute bit r w read bit w w write bit für alle anderen (other, world) x w execute bit

21 Beispiel, angezeigt mit ls l: -rwsr-x--x 1 lohr inst 4711 Feb 29 12:34 memo x o und suid Eigner Eignergruppe Initialisierung des Schutzstatus bei Dateierzeugung: uid = EUID gid = EGID u g d r w x r w x r w x (mit u=suid, g=sgid) = niederwertige Bits des 2. Arguments mode von creat(path,mode), z.b oktal, modifiziert durch die mode mask (Prozeßattribut, gesetzt durch umask() ) : (d = restricted deletion flag for directories)

22 Abfragen des Schutzstatus mit stat() Ändern des Schutzstatus (restriktiv! Schutz des Schutzstatus!) mit chmod() (change mode) chown() (change owner) benötigt Recht protect benötigt Recht pass

23 Rechte eines Prozesses an einer Datei Ein Prozeß hat das Recht read bzw. write bzw. execute an einer regulären Datei genau dann, wenn EUID = 0 oder oder oder EUID = uid und das zugehörige Eigner-Bit im Schutzstatus ist gesetzt EUID uid und EGID = gid und das zugehörige Bit für die Eignergruppe ist gesetzt EUID uid und EGID gid und das zugehörige Bit für alle anderen ist gesetzt

24 Ein Prozeß hat das Recht read, write, search an einem Verzeichnis genau dann, wenn - wie bei regulärer Datei, wobei x für search steht Ein Prozeß hat das Recht protect an einer Datei genau dann, wenn EUID = 0 oder EUID = uid Ein Prozeß hat das Recht pass an einer Datei genau dann, wenn (Original-Unix:) EUID = 0 (Varianten:) EUID = 0 oder EUID = uid

25 Erforderliche Rechte für Dateioperationen Achtung: Viele Operationen greifen auf mehr als eine Datei zu! Operation open(path,oflag) erforderliches Recht read und/oder write, gemäß oflag, außerdem..... ERRORS The open() function will fail if: EACCES Search permission is denied on a component of the path prefix, or the file exists and the permissions specified by oflag are denied, or the file does not exist and write permission is denied for the parent directory of the file to be created, or O_TRUNC is specified and write permission is denied.

26 Operation creat(path,mode) erforderliches Recht write für Verzeichnis, ferner..... EACCES Search permission is denied on a component of the pa prefix; the file does not exist and the directory in which the file is to be created does not permit writing; or the file exists and write permission is denied. exec(path,...) execute, außerdem..... EACCES Search permission is denied for a directory listed in the new process file's path prefix; the new process file is not an ordinary file; or the new process file mode denies execute permission.

27 Operation erforderliches Recht Effekt: neuer Schutzstatus gemäß mode (analog crea chmod(path,mode) protect, d.h. Vor: EUID = 0 oder EUID = uid chown(filename,uid,gid) pass, d.h. Vor.: EUID = 0 oder EUID = uid Effekt: uid = uid, gid = gid und suid, sgid gelöscht außer wenn EUID = 0 Gewährleistet Schutz vor folgendem Szenario: 1. Angreifer schreibt/kopiert ein öffentliches Programm ca 2. setzt suid mit chmod, 3. setzt uid auf 0 mit chown 4. und spioniert mittels cat ~root/secret

28 Online Manual Solaris/POSIX: The operating system has a configuration option {_POSIX_CHOWN_RESTRICTED}, to restrict ownership changes. {_POSIX_CHOWN_RESTRICTED} is enabled by default. See system(4) and fpathconf(2).

29 Erweiterter Schutzstatus in Solaris bietet feinkörnigen Schutz durch zusätzliche Rechte-Angaben in der AC für andere Benutzer als nur den Eigner, für andere Gruppen als nur die Eignergruppe. Typische Ausgabe von getfacl myfile ist (mittels acl() ) # file: myfile # owner: lohr # group: inst user::rwx user:spion:--- user:fritz:r-x group::--x mask::r-x other::--- Expliziter Ausschluß Obere Grenze für alle außer Eigner

30 5.3.2 Zugriffsschutzmechanismen garantieren keine Sicherheit sofern man sie nicht genau kennt und sorgfältig mit ihnen umgeht! Beispiel 1: Trojanisches Pferd unterschieben % ll ~pohl -rw-r pohl inst 4711 Feb 29 12:34 mem drwxr-x--x 1 pohl inst 512 Feb 10 12:01 bin Leider ist bin nicht lesbar. % ~pohl/bin/hello Ein Versuch... Hello world!... erfolgreich. % cp trojan ~pohl/bin/hello Noch ein Versuch erfolgreiches Installieren % eines Trojanischen Pferdes (cp ändert nur den Inhalt der Zieldatei, nicht deren Attribute)

31 Beispiel 2: Shell mit fremder UID ausführen Pohl empfiehlt der Öffentlichkeit sein setuid-programm cool, hat aber aus Versehen das Schreibrecht nicht gelöscht -rwsrwxrwx 1 pohl inst 512 Feb 10 12:01 cool Der Angreifer macht > cp /bin/sh ~pohl/cool > ~pohl/cool % und hat hier eine Shell mit Pohls Autorisierung

32 Beispiel 3: Ebenfalls Shell mit fremder UID ausführen! Wenn Shell mit einem Namen aufgerufen wird, der mit dem Zeichen beginnt, agiert sie als Login Shell, d.h. sie liest grundsätzlich von der Tastatur. Vor.: Benutzer Pohl hat öffentliches Shell-Skript script #!/bin/sh... mit setuid-bit.

33 > ln ~pohl/script x Lokalen Eintrag x für script machen > ll -rwsr-xr-x 2 pohl inst 512 Feb 10 12:01 -x > -x Startet Shell, die nicht script ausführt! %! Online Manual: The use of setuid Shell srcipts is strongly discouraged. Außerdem: Neuere Unix-Versionen (z.b. Solaris) ignorieren in diesem Fall das setuid-bit.