Software & Infrastruktur

Red Hat in zwei Varianten: Red Hat Enterprise Linux für Server

Seite 2 / 4

Sicherheit

Red Hat Enterprise Linux gehört zu den sichersten Betriebssystemen am Markt und bietet eine Reihe wirksamer Schutzmechanismen. Eine Firewall und die Unterstützung für Verschlüsselungsmechanismen sind bei Red Hat schon lange üblich. Mit der Version 4 kamen zwei wichtige Sicherheitstechniken hinzu: SELinux und Exec Shield.

SELinux wurde von der National Security Association (NSA) initiiert und in Zusammenarbeit mit Red Hat weiterentwickelt. Es stellt eine Implementierung der Mandatory Access Control (MAC) im Linux-Kernel dar. Standard-Linux basiert auf einem Discretionary-Access Control- (DAC) Modell, demgemäß Anwender mit

dem Super-User- beziehungsweise Root-Kennwort die komplette Kontrolle über alle Elemente des Gesamtsystems haben. In einem DAC-System laufen einige Applikationen nur im Super-User-Modus oder können bei Vorliegen eines Programmierfehlers dazu gebracht werden, selbigen zu erlangen. Im Gegensatz dazu liefert ein MAC-System granulare Zugriffsrechte für die unterschiedlichen Anwender, Programme, Prozesse, Dateien und Komponenten.

Exec Shield adressiert einen fatalen grundsätzlichen Fehler der x86-Architektur. Die Architektur kann bei der Verwaltung von Stackpages nicht zwischen Lese- und Ausführungsrechten unterscheiden. Aus diesem Grund ist es möglich, ausführbare Programme in Speichersegmenten zu platzieren, die eigentlich nur les- oder schreibbar sein sollten. Das führt dazu, dass Stack- und Heap-Überläufe in Applikationen immer wieder Sicherheitslücken darstellen, besonders wenn die betroffenen Programme mit erweiterten Rechten laufen. Red Hat-Entwickler Ingo Molnar hat mit Exec Shield eine Lösung des Problems entwickelt. Die Segmente bleiben ausführbar, jedoch setzt der Scheduler eine Grenze, oberhalb der kein ausführbarer Code liegen darf. Diese Grenze wird in einem Segment verwaltet, das der Scheduler vor jedem Prozesswechsel auf den korrekten Wert für die jeweilige Applikation setzt. Weitere Erweiterungen, etwa im ELF-Header von Binaries und Libraries, reduzieren die Gefahr der Ausnutzbarkeit von Software-Fehlern auf ein absolutes Minimum.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!