t3n 7

Red Hat in zwei Varianten: Red Hat Enterprise Linux für Server

Seite 2 / 4

Sicherheit

Red Hat Enterprise Linux gehört zu den sichersten Betriebssystemen am Markt und bietet eine Reihe wirksamer Schutzmechanismen. Eine Firewall und die Unterstützung für Verschlüsselungsmechanismen sind bei Red Hat schon lange üblich. Mit der Version 4 kamen zwei wichtige Sicherheitstechniken hinzu: SELinux und Exec Shield.

SELinux wurde von der National Security Association (NSA) initiiert und in Zusammenarbeit mit Red Hat weiterentwickelt. Es stellt eine Implementierung der Mandatory Access Control (MAC) im Linux-Kernel dar. Standard-Linux basiert auf einem Discretionary-Access Control- (DAC) Modell, demgemäß Anwender mit

dem Super-User- beziehungsweise Root-Kennwort die komplette Kontrolle über alle Elemente des Gesamtsystems haben. In einem DAC-System laufen einige Applikationen nur im Super-User-Modus oder können bei Vorliegen eines Programmierfehlers dazu gebracht werden, selbigen zu erlangen. Im Gegensatz dazu liefert ein MAC-System granulare Zugriffsrechte für die unterschiedlichen Anwender, Programme, Prozesse, Dateien und Komponenten.

Exec Shield adressiert einen fatalen grundsätzlichen Fehler der x86-Architektur. Die Architektur kann bei der Verwaltung von Stackpages nicht zwischen Lese- und Ausführungsrechten unterscheiden. Aus diesem Grund ist es möglich, ausführbare Programme in Speichersegmenten zu platzieren, die eigentlich nur les- oder schreibbar sein sollten. Das führt dazu, dass Stack- und Heap-Überläufe in Applikationen immer wieder Sicherheitslücken darstellen, besonders wenn die betroffenen Programme mit erweiterten Rechten laufen. Red Hat-Entwickler Ingo Molnar hat mit Exec Shield eine Lösung des Problems entwickelt. Die Segmente bleiben ausführbar, jedoch setzt der Scheduler eine Grenze, oberhalb der kein ausführbarer Code liegen darf. Diese Grenze wird in einem Segment verwaltet, das der Scheduler vor jedem Prozesswechsel auf den korrekten Wert für die jeweilige Applikation setzt. Weitere Erweiterungen, etwa im ELF-Header von Binaries und Libraries, reduzieren die Gefahr der Ausnutzbarkeit von Software-Fehlern auf ein absolutes Minimum.

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung