Systeme mit SELinux absichern

Geschützte Bereiche

Schwachstellen treten immer wieder in den unterschiedlichsten Softwarekomponenten auf. Mit SELinux steht ein mächtiges Werkzeug zur Verfügung, um Schaden auf den betroffenen Systemen zu minimieren. Leider wird die Kernel-Erweiterung auf vielen Systemen aus Unwissenheit immer wieder abgeschaltet. Warum dies keine gute Idee ist, erklärt der Open-Source-Tipp in diesem Monat.
Mitarbeiter wie auch die Unternehmensleitung setzen die Verfügbarkeit von IT-Diensten längst als selbstverständlich voraus. Ungeplante Ausfälle sind deshalb ... (mehr)

Fehlerhafter Programmcode kann schwerwiegende Folgen haben. Im schlimmsten Fall können Angreifer ganze Systeme übernehmen, ohne hierfür einen lokalen Zugang zu diesen Systemen zu benötigen. Möglich wird dies durch Softwarefehler, die eine Remote Code Execution (RCE) erlauben, also das Ausführen von Schadsoftware aus dem Netzwerk heraus. Wer lokalen Zugang zu Systemen besitzt, auf denen fehlerhafte Software installiert ist, dem eröffnen sich noch wesentlich weitreichendere Möglichkeiten, um Softwarefehler auszunutzen.

Schwachstellen in runC-Container-Runtime

Erst vor kurzem wurde im CVE-2021-30465 [1] ein Fehler in der Software runC [2] beschrieben. Die Software stellt eine Container-Runtime zur Verfügung, die auf Basis der Open-Container-Initiative-Spezifikation (OCI) Container verwaltet. Alle bekannten Container-Manager wie beispielsweise Docker, Podman oder CRI-O verwenden diese Runtime und setzen runC ein, meistens nicht direkt sichtbar für den Anwender. Ein Fehler in runC, der mittlerweile behoben ist, erlaubte einen sogenannten "symlink exchange"-Angriff, bei dem Angreifer das

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023