Sicherer Sandkasten
Dass auch Anwendungen aus vertrauenswürdigen Quellen Sicherheitslücken enthalten und es zudem böswillig manipulierte Dateien gibt, die Programme zu schädlichem Verhalten bringen, ist für Fedora-Entwickler Daniel Walsh Grund genug, um Desktop-Anwendungen in eine Sandbox zu sperren.
Bei seiner Keynote zeigte er, wie sich das SE Linux seines Arbeitgebers Red Hat dazu einsetzen lässt. Red Hat Enterprise Linux oder wahlweise Fedora 15 oder 16 seien dafür tauglich, gab er an.
Walsh (Abbildung 3) meint, dass im Desktop-Umfeld der Gast-Anwendung zunächst folgende Möglichkeiten zu entziehen sind: Netzwerk, Set-UID, Set-GID, Zugriff auf andere Prozesse, Zugriff auf Home- und Temporärverzeichnis, Zugriff auf den X-Server und Dbus. Genau dies tue SE Linux Sandboxing, zudem verwehre es auch noch den Zugriff auf Proc und Self, erklärte Daniel Walsh.
Abbildung 3: Daniel Walsh startet die Anwendungen auf seinem Fedora-Notebook in SE-Linux-Sandboxen.
Auf seinem Fedora-Rawhide-Notebook lief die gesamte Präsentation in einer Libre-Office-Sandbox. Dazu hatte er sich ein einfaches Wrapper-Skript geschrieben, das lediglich eine einzige Zeile umfasst: »/usr/bin/sandbox -w 1000x900 -X ooffice "$@"«
. Es gibt die Fenstergröße vor und startet die Anwendung auf einem eigenen Xephyr-X-Server mit eigener Display-Nummer. Leider lässt sich dessen Fenstergröße unter Fedora nicht verändern, räumte der Referent ein, unter RHEL 6 funktioniere das aber. Ein weiterer Usability-Mangel: Die Fenster tauchen in der Fensterliste und bei [Alt]+[Tab] nur immer als »Xephyr«
auf.
Im weiteren Verlauf seiner Demonstration zeigte Walsh an mehreren Xterm-Sandboxen, wie jede Instanz ein jungfräuliches Home- und Temporärverzeichnis erhält sowie eine eigene MCS-Kennung von SE Linux zugewiesen erhält. Keines der beschränkten Terminals konnte einen Netzwerk-Ping ausführen oder mit Sudo Rootrechte erlangen.
Vorgaben umsetzen
Die Quinscape GmbH hat auf dem Linuxtag ihr Java-Webframework Opensaga demonstriert und gleichzeitig Version 2.0 der Open-Source-Software angekündigt. Der Dortmunder Dienstleister für Webplattformen hat unter Leitung des Java-Fachmanns Thomas Biskup damit ein Framework geschaffen, das die als SAGA bekannten technischen Vorgaben für Bundesbehörden berücksichtigt.
Quinscape wird demnächst die mit Opensaga erstellte Seite Lebensmittelwarnung.de des Bundesamts für Verbraucherschutz und Lebensmittelsicherheit in Betrieb schicken, so war in Berlin zu hören. Derzeit steht Opensaga in Version 1.5.1 vom Dezember 2010 zum Download bereit. Die Entwickler arbeiten an Version 2.0, die grafische Editoren mitbringen soll.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 2 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...