4 Zugriffsschutz. soll unerwünschte Zugriffe von Subjekten auf Objekte verhindern. (access protection, access control) Beispiele:

Größe: px

Ab Seite anzeigen:

Download "4 Zugriffsschutz. soll unerwünschte Zugriffe von Subjekten auf Objekte verhindern. (access protection, access control) Beispiele:"

Justus Geiger
vor 6 Jahren
Abrufe

1 4 Zugriffsschutz (access protection, access control) soll unerwünschte Zugriffe von Subjekten auf Objekte verhindern Beispiele: Prozessor überschreibt Speicherzelle: CLEAR 0 Benutzer erweitert Paßwortdatei: Prozeß sucht in geheimem Verzeichnis: Benutzer will auf Farbdrucker drucken: append x /etc/passwd stat("secret/file",buf) lpr Picsi picture.jpg SS-4 1

2 Objekte, für deren Schutz Hardware und Betriebssystem verantwortlich sind: reale und virtuelle Ressourcen (resources): real: Prozessoren Arbeitsspeicher Peripherie virtuell: Prozesse Seiten E/A-Ströme Threads Segmente = realisiert mittels SS-4 2

3 4.1 Speicherschutz (memory protection) stellt sicher, daß ein Prozessor/Prozeß als Subjekt nicht unerwünschterweise aus einer Speicherzelle lesen kann, den Inhalt einer Speicherzelle ändern kann, den Inhalt einer Speicherzelle als Befehl ausführen kann, auf ein Peripheriegerät zugreifen kann, wird ermöglicht durch Prozessor-Hardware, wird unterstützt durch Betriebssystem. SS-4 3

4 4.1.1 Speicherschutz-Hardware wird auf Segmente des virtuellen Speichers bezogen (die zwecks effizienter Speicherverwaltung in Seiten aufgeteilt sind): Prozessor arbeitet normalerweise in virtuellem Adressraum, der durch die aktuelle Adressabbildung gemäß MMU definiert ist. Zugriff grundsätzlich nicht außerhalb der Segmente des Adressraums. SS-4 4

5 Segmentdeskriptoren in der MMU enthalten je ein Bit für R (read) Leserecht, W (write) Schreibrecht, X (execute) Ausführungsrecht. Bei jedem Speicherzugriff überprüft die Hardware, ob im Deskriptor des Segments, in dem die Zelle liegt, das für den Zugriff erforderliche Rechte-Bit gesetzt ist. SS-4 5

6 Zugriff auf Peripheriegerät ist genau dann möglich, wenn Alternative 1 (memory-mapped I/O): der virtuelle Adressraum die Geräteregister umfasst und die notwendigen Rechte-Bits gesetzt sind; Alternative 2 (privilegierte E/A-Befehle): der Prozessor im privilegierten Zustand läuft. SS-4 6

7 Kontrollierte Änderung der Zugriffsrechte des Prozessors durch Unterbrechung (interrupt) mit 1. Adressraumwechsel, 2. Wechsel des Prozessorstatus (privilegiert ν nichtprivilegiert) 3. weiterer Befehlsausführung an vorgeplanter Stelle. Achtung! Bei Systemaufruf evtl. Sicherheitsrisiko Pufferüberlauf (2.5) SS-4 7

8 4.1.2 Speicherschutz für Prozesse Betriebssystem verwaltet Adreßräume der Prozesse: für jeden Prozeß führt das Betriebssystem eine Segmentliste (memory map) mit Einträgen R W X Segmentdeskriptor in Segmenttabelle bei Prozeßwechsel wird MMU gemäß der Segmentliste neu geladen (nur im privilegierten Zustand möglich!) ( viele Varianten möglich) SS-4 8

9 Einrichtung und Änderung des Adreßraums: Einrichten beim Laden eines Programms gemäß den Angaben in der Programmdatei Ändern in kontrollierter Form durch Systemaufrufe, z.b. in Unix brk(limit) ändert Länge des Datensegments address = mmap(addr,len,prot,flags,seg,off) Segment einblenden bzw. erzeugen; (genauer: Seiten eines Speicherobjekts ) mprotect(addr,len,prot) ändert Rechte des Prozesses an einem Segment (genauer: an den Seiten eines Speicherobjekts ) SS-4 9

10 4.2 Autorisierung eines Prozesses - auch Sicherheitsprofil, Autorisierungsprofil, Privilegien - (authorization, privileges, credentials)! Autorisierung nicht mit Authentisierung verwechseln! gehört zu den Attributen eines Prozesses steuert die Zulässigkeit von Systemaufrufen, und damit den Zugriff auf Systemobjekte (z.b. Dateien), besteht typischerweise aus Benutzernummer, Gruppennummer, Sicherheitsstufe (clearance), Rolle,... SS-4 10

11 Beispiel Unix/Solaris: Jeder Benutzer hat einen Namen (Benutzerkennung, 4.1) und ist einer benannten Benutzergruppe zugeordnet. Systemintern werden Benutzer und Gruppen durch Nummern identifiziert, die man in den Einträgen von /etc/passwd und /etc/group finden kann: UID - user identifier ( 0 für Systemverwalter root) GID - group identifier ( 0 für Systemgruppe wheel) Jeder Benutzer gehört zu einer Primärgruppe, die in der Passwortdatei für ihn vermerkt ist, kann aber weiteren Gruppen angehören gemäß den Angaben in der Gruppendatei, z.b. prof:password:gid:alt,fehr,lohr,... SS-4 11

12 Prozessattribute zur Autorisierung eines Prozesses in Unix/Solaris: RUID (real user id) EUID (effective user id) - UID des Prozeßerzeugers - UID für Schutz-Entscheidungen RGID (real group id) - GID des Prozeßerzeugers EGID (effective group id) - GID für Schutz-Entscheidungen Scheduling-Klasse - RT oder TS oder IA SS-4 12

13 Initialisierung der Autorisierung: login Angaben in Passwortdatei bestimmen RUID/EUID und RGID/EGID su name newgrp name ( substitute user ) wie login, neue Shell neue Shell mit neuer RGID/EGID fork übernimmt Attribute vom Erzeugerprozess... weitere SS-4 13

14 Kontrollierte Änderung der Autorisierung (durch Autorisierung geschützt!): priocntl(...) Scheduling-Klasse verändern, weitere Scheduling-bezogene Maßnahmen Vor.:..... SS-4 14

15 setuid(uid) RUID und EUID auf uid setzen Vor.: uid = RUID oder uid = EUID oder EUID = 0 setgid(gid)(analog) RGID und EGID auf gid setzen Vor.: gid = RGID oder gid = EGID oder EUID = 0 (zugehörige ungeschützte Abfragen: getuid(), geteuid(),...) SS-4 15

16 Veränderung der Autorisierung auch durch exec(prog,...) gemäß den Dateiattributen ( ) der Programmdatei prog: suid (setuid bit), sgid (setgid bit), uid ( = UID des Datei-Eigners), gid ( = GID einer Eigner-Gruppe) wie folgt: wenn suid, dann EUID auf uid setzen; wenn guid, dann EGID auf gid setzen. Ziel: kontrollierte Änderung der Autorisierung - gebunden an die Ausführung eines bestimmten Programms SS-4 16

17 exec mit SUID und UID = y RUID = x EUID = x RUID = x EUID = y setuid(x) x führt y-programm mit y-autorisierung aus SS-4 17

18 Datenabstraktion mit Programmiersprache: bei Dateien: prozedurale Schnittstelle Programme mit SUID und UID = y verborgene Datenrepräsentation Dateien mit UID = y syntaktisch über gleiche UID Kapselung SS-4 18

19 Beispiele: Systemprogramme mit y = 0 (Super-User) passwd ändert nach Eingabe eines neuen Passworts das Passwort des Benutzers in der Passwortdatei login usr su usr ändert nach korrekter Passworteingabe für usr die Autorisierung der Shell in diejenige für usr startet nach korrekter Passworteingabe für usr eine neue Shell mit der Autorisierung für usr newgrp gr (Solaris) startet neue Shell mit neuer Autorisierung RGID/EGID gemäß Gruppe gr (RUID/EUID bleiben unverändert) Vor.: Benutzer muß der Gruppe angehören und ggfls. Gruppenpasswort kennen) SS-4 19

20 Variante im POSIX-Standard: Prozeß hat zusätzlich zu RUID/EUID/RGID/EGID saved -Versionen SUID/SGID und damit setuid(uid) EUID auf uid setzen; RUID, SUID auf uid setzen falls EUID = 0 Vor.: uid = RUID oder uid = SUID oder EUID = 0 setgid(gid) (analog) EGID auf gid setzen; RGID auf gid setzen falls EGID = 0 Vor.: gid = RGID oder gid = SGID oder EUID = 0 SS-4 20

21 RUID = x EUID = x SUID =... RUID = x EUID = x SUID = y exec mit SUID und UID = y RUID = x EUID = y SUID = y setuid(x) setuid(y) beliebiges Hin- und Herschalten der EUID! SS-4 21

Ähnliche Dokumente

4.2 Autorisierung eines Prozesses

4.2 Autorisierung eines Prozesses - auch Sicherheitsprofil, Autorisierungsprofil, Privilegierung - (authorization, privileges, credentials)! Autorisierung nicht mit Authentisierung verwechseln! gehört