Variable Filesysteme
Variable Filesysteme
Wie kann man Computer und Systeme gegen Angriffe härten? Das beschreibt unser Kollege und Experte für Digitale Forensik, in seiner Hardening-Kolumne. Lesen Sie im ersten Teil mehr über variable Filesysteme.
Nicht erst seit dem "Shitrix" -Hack vor ein paar Jahren ist bekannt, dass man variable Filesysteme von Linux-Servern vor Missbrauch schützen sollte.
Mit "Shitrix" wurde der Angriff auf eine Firewall eines bekannten Herstellers benannt. Hier nutzte ein Angreifer eine Schwachstelle im Webapplikationsserver aus, transportierte Schadsoftware auf den Server und legte es im tmp-Verzeichnis ab. Von hier wurde sie auch gestartet und tauchte in der Prozessliste mit dem recht unauffälligen Namen httpd auf. Erst wenn man die Prozessliste mit dem Parameter für den kompletten Startpfad versah, konnte man die Anomalie erkennen. Weiter gelang es dem Angreifer, einen entsprechenden Cronjob einzurichten, der sicher stellte, dass diese Schadsoftware immer lief.
Um zu verhindern, dass variable Filesysteme wie definierte tmp- und var-Verzeichnisse für Angriffe anfällig werden, lagert man diese auf eigene Partitionen aus und mountet sie dann parametrisiert mit NOEXEC, NOSUID und/oder NODEV in den Linux-Dateibaum zurück. Damit wird ein Start von Schadsoftware aus diesen allgemein zugänglichen Verzeichnisse wirksam unterbunden. An dieser Stelle sind die Härtungsanleitungen des "Centers for Internet Security" immer eine gute Empfehlung.
Abschließend sei erwähnt, dass dem Administrator bei dieser Firewall-Appliance die Hände gebunden waren. Lernen kann man dennoch davon.
Nicht erst seit dem "Shitrix" -Hack vor ein paar Jahren ist bekannt, dass man variable Filesysteme von Linux-Servern vor Missbrauch schützen sollte.
Mit "Shitrix" wurde der Angriff auf eine Firewall eines bekannten Herstellers benannt. Hier nutzte ein Angreifer eine Schwachstelle im Webapplikationsserver aus, transportierte Schadsoftware auf den Server und legte es im tmp-Verzeichnis ab. Von hier wurde sie auch gestartet und tauchte in der Prozessliste mit dem recht unauffälligen Namen httpd auf. Erst wenn man die Prozessliste mit dem Parameter für den kompletten Startpfad versah, konnte man die Anomalie erkennen. Weiter gelang es dem Angreifer, einen entsprechenden Cronjob einzurichten, der sicher stellte, dass diese Schadsoftware immer lief.
Um zu verhindern, dass variable Filesysteme wie definierte tmp- und var-Verzeichnisse für Angriffe anfällig werden, lagert man diese auf eigene Partitionen aus und mountet sie dann parametrisiert mit NOEXEC, NOSUID und/oder NODEV in den Linux-Dateibaum zurück. Damit wird ein Start von Schadsoftware aus diesen allgemein zugänglichen Verzeichnisse wirksam unterbunden. An dieser Stelle sind die Härtungsanleitungen des "Centers for Internet Security" immer eine gute Empfehlung.
Abschließend sei erwähnt, dass dem Administrator bei dieser Firewall-Appliance die Hände gebunden waren. Lernen kann man dennoch davon.