(c) sxc.hu

Im Sandkasten

SELinux mit eigener Sandbox

Britta Wülfing

30.05.2009 Das Sicherheits-Framework SELinux bietet künftig auch einen Sandkasten (Sandbox), in dem nicht-sichere Applikationen abgeschottet von anderen Systembereichen ausgeführt werden können.

Die Red-Hat-Mitarbeiter Dan Walsh und Eric Paris haben das zusätzliche Sicherheitstool geschrieben, und der SELinux-Projektleiter Walsh beschreibt die Funktionsweise und Entstehung in einem ausführlichen Blogeintrag. Die Grundidee: Mittels SE Linux sollen die Aktionen eingeschränkt werden, die eine Anwendung ausführen kann. Damit könnten Anwender auch ungeprüfte Programme ausführen oder Daten bearbeiten, die nicht als sicher gelten.

Durch eine Anfrage auf der Linux-Kernelliste kamen die Entwickler auf die Idee, SE-Linux-Policies zu verwenden, um eine Sandbox herzustellen. Walsh beschreibt das so: "Im Bugreport ging es um Beschränkung für grep, awk, ls. Die Idee dahinter: Könnten wir nicht das grep- oder mv-Kommando daran hindern, plötzliche eine Netzwerkverbindung zu öffnen und meine /etc/shadow-Datei an Unbekannte zu kopieren?“ Als weiteren Einsatzbereich der Sandbox nennt Walsh so genannte Grid-Jobs beim verteilten Rechnen. Er sieht hierbei die Gefahr, dass Grid Jobs möglicherweise zu Spam-Bots werden oder auf andere Weise das System angreifen.

Für das Schreiben der Policy brauchte er mit den GUI-Programm von Fedora 11 nur zehn Klicks, berichtet Rush. Er liefert Interessierten eine genaue Anleitung. Neben der Policy hat er auch das Tool /usr/bin/sandbox geschrieben, das Inhalte in den Sandkasten befördert. Ein Problem hat Rush in der aktuellen Version noch nicht aufgegriffen: "Derzeit habe ich noch nicht die Absicht, X-Anwendungen in der Sandox zu nutzen, weil diese Programme das ganze Home-Verzeichnis, ~/.gconf, ~/.gnome, ~/.config ... und alles aus /tmp überschreiben wollen []“, so Rush. Ideen für eine Lösung habe er allerdings schon.

In einer Mail an die Linux-Kernelliste stellt Mitentwickler Eric Paris die SELinux-Sandbox mit einem einfachen Anwendungsbeispiel vor und bittet um Erfahrungsberichte. Er schreibt: "Probiert's aus, SE-Linux-Beschränkungen leicht gemacht."

Wer einmal ausprobieren möchte, wie sich ein durch SELinux geschütztes System anfühlt, kann dazu zum Beispiel den öffentlichen SSH-Login als Root für die SELinux-Testmaschine des Australiers Russel Cooker nutzen.