Systrace

[xGhost]

Tach

Habe in letzter Zeit viel von und über Systrace gehört.
Ist zwar nicht neu, aber soweit ich gelesen habe sehr mächtig.

Wollte fragen, ob schon jemand Systrace benutzt und was er damit
so für Erfahrungen gemacht hat.

Wenn man den Apache im Systrace laufen hat, könnte man nun
theoretisch auch cgi-perl "sicher" einsetzten mit modulen?
Mit chmod ist das nicht so praktisch.
Hat das schon wer ausprobiert?

Greets

 

[xGhost]

Hat noch niemand etwas mit systrace gemacht?

Unter dem neuen OSX heisst es sandbox.

 

[SolarCatcher]

Ich kann Dir leider von keinen Erfahrungen damit berichten. Aber ich bin mir auch nicht sicher, ob das derzeit so eine gute Idee ist: Im August wurde von Robert Watson ein grundlegendes Sicherheitsproblem mit Systrace identifiziert, so dass z.B. die Arbeiten an sysjail eingestellt wurden. Auf der Website heißt es dazu "Until these problems have been addressed, we do not recommend using sysjail (or any systrace(4) tools, including systrace(1)). All versions are vulnerable on all architectures."

Gruß
SolarCatcher

 

[Daemotron]

Ich habe auf einem Server mal Jails mit sysjail aufgebaut, um verschiedene Webserver voneinander zu trennen. Wie SolarCatcher schon ausgeführt hat, ist das im Moment aber keine wirklich sichere Sache; allerdings trifft die aufgedeckte Schwäche nur auf SMP-Systeme zu. Außerdem muss ein Angreifer die so möglich gewordene Race Condition erst mal gewinnen. In Otto-Normal-Situationen ist es immer noch ein nützliches Werkzeug; insbesondere, wenn man "nur" darauf abzielt, Ressourcen für bestimmte Prozesse zu limitieren.

Der Einsatz von systrace oder sysjail ist aber keine Handhabe, um sich dann beruhigt hinzulegen - selbst wenn das Problem mit den konkurrenten Prozessen einmal behoben ist, musst Du trotzdem Aufwand in die Absicherung des Webservers stecken. Zumal auch systrace nach der UID arbeitet; zwei Prozesse, die in unterschiedlichen sysjails, aber mit derselben UID gestartet wurden, können sich durchaus in die Quere kommen.

Ein wirklich probates Mittel, die Sicherheit von Apache mit Perl-CGIs signifikant zu erhöhen, wäre der Einsatz des suexec-Wrappers. Da ist zwar ein bissl Handarbeit angesagt, aber es gibt ein sehr brauchbares Howto, mit dem sich das einrichten lässt. Steckt der chrootete Indianer mit suexec-Wrapper und paranoider Konfiguration dann noch in einem sysjail, muss ein Angreifer schon viele Barrieren überspringen, bis er wirklichen Schaden am System anrichten kann.

Der wichtigste Aspekt bei Webservern bleibt aber derzeit die Web-Anwendung selbst - ein einziges mies programmiertes Skript reicht, um die fragliche Website einem erfolgreichen Angriff preiszugeben.