Wie mache ich Linux sicherer? Vortrag zum MDLUG-Themenabend

Transkript

1 Wie mache ich Linux sicherer? Vortrag zum MDLUG-Themenabend

2 Motivation bestehende Möglichkeiten nicht ausreichend Dateiberechtigung Quotas chroot-jails Restprobleme fehlende Ressourcenbeschränkung (CPU, RAM) unzureichender Speicherschutz Sichtbarkeit von Informationen (Prozesse, Nutzer) Beschränkung auf DAC Allmächtigkeit versus Rechtlosigkeit

3 Ziele Schutz vor Buffer-Overflows und verwandte Angriffe Restriktion von Anwendungen Ressourcenbeschränkungen verteilte Administration Entmachtung von root Einführung von MAC

4 Möglichkeiten komplette Virtualisierung z.b.: vserver, UML, Xen Eigenschaften: saubere Trennung verschieden Distributionen möglich erhöhter Ressourcen und Verwaltungsaufwand innerhalb eines Systems bleibt Problematik

5 Möglichkeiten Erweiterung des Systems Erstellung eines Regelwerkes Härten des Kernels (Speicherschutz) Eigenschaften: einheitliches Gesamtsystem feingranulare Anpassung kein komplette Trennung Konfiguration benötigt Wissen über Dienstinterna

6 Buffer-Overflows & Verwandte folgende Projekte vorhanden openwall RSX exec-shield PaX prinzipbedingt Kernelpatches und Compilererweiterungen

7 Openwall ( nichtausführbarer Stack Beschränkungen für Links in /tmp Beschränkungen für FIFOs in /tmp Beschränkungen für /proc Zerstörung von unbenutztem shared-memory derzeit ausschliesslich für Kernel 2.4

8 RSX ( Runtime addressspace extender on-the fly Code-Remapping nichtausführbarer Stack und Heap verhindert Code in Daten-Segmenten /proc/rsx für schnellen Integritätscheck keine Weiterentwicklung nur Patch für vorhanden

9 exec-shield (people.redhat.com/mingo/exec-shield) nichtausführbare Speicherseiten Speicher-Randomisierung Stack Startadressen von shared libraries Startadresse des Programm-Heap Position Independend Executables (PIE) keine festen Startadressen mehr integriert in gcc toolchain (-pie) Bestandteil von RH Enterprise und Fedora Teil des Hardened-Gentoo-Projektes

10 PaX (pax.grsecurity.net) nichtausführbare Speicherseiten Speicher-Randomisierung Stack Startadressen von shared libraries Startadresse des Programm-Heap Startadresse von Programmen stete Weiterentwicklung (grsecurity) Teil des Hardened-Gentoo-Projektes

11 Durchsetzen von Restriktionen folgende Projekte vorhanden SysTrace VXE Medusa DS9 LIDS Remus grsecurity RSBAC SE Linux

12 SysTrace ( fängt SystemCalls ab erlaubt/verbietet nach Regelwerk Lernmodus interaktiver Modus (graf. PopUp-Fenster) wird wohl nicht mehr weiterentwickelt letzte Änderungen Jan (2.4.24/2.6.1)

13 VXE (vxe.quercitron.com) Virtual executing Environment startet übergebenes Programm alle SysCalls werden gegen Policy geprüft Lernmodus vorhanden Webinterface zur Verwaltung vorhanden schützt nur Programme die über VXE (Sandbox) aufgerufen wurden nur für 2.4.x verfügbar nur für nicht-kommerzielle Nutzung frei

14 Medusa DS9 (medusa.fornax.sk) Zugriffsbeschränkung auf Dateien Kontrolle von Signalen Prozessaktionen Syscall-Aufrufen Verstecken von Prozessen und Dateien wird kaum noch gepflegt letzte Aktualisierung April 2004 (2.4.26)

15 LIDS ( Linux Intrusion Detection System Beschränkung von Dateien und Prozessen Schutz (auch vor root) Verstecken Beschränkung des Netzzugriffs feingranulare Zugriffskontrolle über ACLs. Erweiterung der Capabilities iptables-syntax in Regeltool stete Weiterentwicklung für Kernel 2.4/2.6

16 Remus (remus.sourceforge.net) REference Monitor for Unix Systems Überwachung SysCalls Argumentenüberwachung Zugriff von bestimmten Prozessen Beschränkung priv. Prozesse (SUID) digitale Signaturen von Code Programme Kernel-Module wird wohl nicht mehr weiterentwickelt letzte Version 0.5 vom

17 grsecurity ( aus Openwall-Patch hervorgegangen PaX integriert detaillierte rollenbasierte Zugriffskontrolle Dateien Prozesse Netzwerk Auditing chroot-unterstützung und Beschränkung Lernmodus einfache Konfiguration über Dateien rege Entwicklung und hohe Verbreitung

18 RSBAC ( Rule Set Based Access Control modulares Design gut kombinierbar und erweiterbar feingranulare Zugriffsbeschränkung von Nutzern/Prozessen Dateien Netzwerkzugriffen PaX-Integration und Jail-Verstärkung Konfiguration über pseudografisches Tool rege Entwicklung und hohe Verbreitung Live-CD zum Testen

19 SE Linux ( Security Enhanced Linux (NSA) striktes MAC-Konzept (S-O-A-Modell) Prozesse Dateien Netzwerk Inter-Prozess-Kommunikation in 2.6 integriert, über LSM in 2.4 benötigt extended Attributes im DS Konfiguration sehr komplex über Dateien für Grund-System vorhanden, teilweise schlechte Integration durch Distributoren wird wohl zum Standard werden

20 persönliche Einschätzung PaX vielseitig und in anderen Projekten integriert grsecurity einfache Konfiguration und sehr mächtig RSBAC sehr mächtig und flexibel, aber etwas schwerer SE Linux ihm gehört wohl die Zukunft, aber schwer konfigurierbar