Zweite Abwehrlinie

SELinux und AppArmor schützen nach dem Einbruch

Praxis & Tipps | Praxis

Die Sicherheitserweiterungen SELinux und AppArmor sperren von außen erreichbare Prozesse in einen Käfig, der verhindert, dass beispielsweise ein gekaperter Apache eine Shell mit Vollzugriff aufs System startet. So kann ein Angreifer auch nach einem erfolgreichen Einbruch nur begrenzt Schaden anrichten – und selbst ein Sicherheits-GAU wie die Shellshock-Lücke glimpflich ausgehen.

S hellshock sorgte im September letzten Jahres für Überstunden bei den Administratoren. Die über Jahre nicht erkannte Sicherheitslücke überraschte Entwickler wie Anwender: Die weitverbreitete Linux-Shell Bash führt in Umgebungsvariablen eingebettete Befehle aus – eine Funktion, die manche Skripte sogar ganz bewusst nutzen.

Niemandem war jedoch bewusst, dass sich dieses Verhalten durch gezieltes Setzen von Umgebungsvariablen beim Aufruf von CGI-Skripten ausnutzen lässt, um beliebige Kommandos auf Webservern auszuführen. Dazu genügt ein GET-Request über HTTP mit passend konstruierten Parametern (siehe Textkasten rechts). Da viele Linux-Systeme die Bash als Standard-Shell nutzen, indem sie /bin/sh auf /bin/bash verlinken, sind alle Anwendungen, die mittels popen() oder system() weitere Prozesse mit Unterstützung der Shell starten, potenziell angreifbar. Betroffen können daher auch CGI-Skripte sein, die in Perl, PHP oder einer anderen Sprache geschrieben sind. ...

Sie möchten wissen, wie es weitergeht?

Zweite Abwehrlinie

1,49 €*

c't 04/2015, Seite 124 (ca. 4 redaktionelle Seiten)
Direkt nach dem Kauf steht Ihnen der Artikel als PDF zum Download zur Verfügung.

Artikel-Vorschau
  1. Impact-GAU
  2. Das Problem
  3. Die Lösung
  4. SELinux in Aktion
  5. AppArmor
  6. Anlernen
  7. Nicht nur CGI
  8. Mehr Sicherheit
  9. Shellshock in der Praxis
  10. DAC und MAC

Lesen Sie hier die Verbraucherinformationen

* Alle Preise verstehen sich inklusive der gesetzlichen MwSt.

Als c't-Plus-Abonnent gratis lesen

Artikelstrecke
Anzeige
Anzeige