Firmenbrief

22.01.2014

Unter der Haube: Wie CoreBiz und Ubuntu Ihre Systeme schützen


Sicherheitsrelevante Themen sind im IT-Bereich zeitlose Klassiker: Nahezu jede Woche vermelden die Medien Einbrüche in IT-Systeme, Datendiebstähle und die Entdeckung von Backdoors in Software und Netzwerk-Hardware, die den Herstellern von Geheimdiensten aufgezwungen werden. Eine Allzweckwaffe für den umfassenden Schutz der eigenen Systeme existiert leider nicht; vielmehr gilt es eine ganze Reihe von Maßnahmen zu treffen, um sich erfolgreich vor Eindringlingen schützen zu können.

Die Engineers von LIS-Linuxland setzen bei der Architektur von neuen IT-Umgebungen hauptsächlich auf Linux und Open-Source, womit bei der Auswahl von Security-Werkzeugen aus dem Vollen geschöpft werden kann. Passend dazu stellt das Magazin LinuxUser in Ausgabe 02/2014 ein wichtiges Werkzeug zur Verbesserung des Systemschutzes bei: AppArmor.

AppArmor - Schutz von Anwendungen an Hand von Profilen

AppArmor ist Bestandteil von Ubuntu und wendet über ein Kernel-Modul festgelegte Regeln an, die den Zugriff von Anwendungen auf lokale Daten einschränken. Grob gesagt kann AppArmor damit beispielsweise einem PDF-Reader verbieten, außerhalb von dem eigenen Heimatverzeichnis nach Dateien zu suchen und diese zu öffnen.

Alte Linux-Hasen erinnern sich womöglich noch an die Distribution Immunix, die Mitte der 90er Jahre Unternehmen ansprechen sollte. Immunix war eine sicherheitsgehärtete Alternative zu Red Hat und versprach schon damals mit dem Tool „Subdomain" ein große Sicherheit von Systemen und Anwendungen. Anhand von Profilen war es möglich, einer Anwendung Zugriff auf bestimmte Ordner, Dateien und Aktionen zu gewähren. Funktioniert hat das Konstrukt, da Linux ein Kernel-Modul mit einer Schnittstelle für sicherheitsrelevante Aktionen bereit stellt, auf der übrigens auch die Alternative SELinux fußt.

Durch kurze Einarbeitungszeiten und simple Bedienung wurde Subdomain immer populärer und gegen 2005 in AppArmor umbenannt. Gleichzeitig begann der Einzug in weitere Linux-Distributionen, darunter OpenSuse, Suse Linux Enterprise Server (SLES) und Ubuntu. Nach dem Kauf von Immunix durch Novell wurde AppArmor weitestgehend von Novell weiter entwickelt. Nach personellen Umstrukturierungen bei Novell liegt das AppArmor-Projekt heute weitestgehend in den Händen von Ubuntu-Hersteller Canonical.

Die Arbeitsweise von AppArmor

Die Funktionsweise von AppArmor ist denkbar simpel: Auf Ubuntu-Systemen finden sich im Verzeichnis /etc/apparmor.d/ Profile für jede zu schützende Anwendung. Ein Profil legt fest, auf welche Pfade eine Anwendung Zugriff hat - dabei wird auch zwischen verschiedenen Berechtigungsstufen unterschieden (u. a. read, write). Auch das Erlauben und Verbieten von Aktionen ist möglich, womit eine Anwendung in eine Art Käfig eingesperrt werden kann.

Ein AppArmor-Profil wird mit dem Start der Anwendung geladen. Wenn eine Applikation also bereits läuft, kann diese nicht mehr durch das Sicherheitswerkzeug geschützt werden.

Wozu soll das gut sein?

Durch diese Vorgehensweise schützt AppArmor vor Anwendungen, die nicht gewünschte Aktionen ausführen wollen. Beispielsweise ist es denkbar, dass eine Anwendung aus nicht vertrauenswürdiger Quelle stammt und selbstständig beim Start Informationen sammelt. Weiterhin schützt AppArmor in bestimmten Maße vor Sicherheitslücken in Programmen, die ausgenutzt werden können. Mit das prominenteste Beispiel sind wohl manipulierte PDF-Dateien, die beim öffnen Aktionen auf dem ungeschützten Opfersystem auslösen. Ist AppArmor hingegen aktiv, kann der Schad-Code im Dokument nicht vollen Zugriff aufs System erlangen.

AppArmor hat den Nachteil, dass für jede Anwendung ein Profil erstellt werden muss. Für viele Standardanwendungen stellt die Linux-Community bereits Profile bereit, jedoch nicht für alle. Damit dies jedoch nicht in langes Brüten über Textdateien ausartet, stellt AppArmor das Hilfs-Tool aa-audit bereit. Dieses Tool beobachtet die Nutzung einer Anwendung und kann dann aus dem Gelernten ein Profil für AppArmor zusammenstellen.

AppArmor ist ein simples, aber mächtiges Werkzeug, das für viel Sicherheitszuwachs sorgen kann. Das Tool ist auf CoreBiz-Systemen standardmäßig aktiv.

Wenn Sie mehr über AppArmor erfahren möchten, können Sie den entsprechenden Artikel aus dem Magazin LinuxUser online einsehen. Die Veröffentlichung von Passagen aus dem AppArmor-Artikel aus dem LinuxUser 02/2014 erfolgt mit freundlicher Genehmigung der Chefredaktion. Ausgabe 02/2014 ist ab dem 16.01.2014 im Zeitschriftenladen oder hier erhältlich.