Firmenbrief

19.08.2015

Tipps vom LIS-Service: Dienste sicher im "Käfig" starten


Sicherheitskritische Dienste sollte man immer in der "Sandbox", auch Käfig bzw. Jailmechanismus genannt, starten. Der Begriff ist sehr bildhaft gewählt und beschreibt recht gut, dass in der so genannten Sandkiste gespielt und ausprobiert wird, bevor es im Echtbetrieb eventuell zu Schäden kommen könnte.

Eine gute Möglichkeit dazu bietet das Open-Source-Tool "chroot", die Abkürzung für „change root". "chroot" setzt dem Dienst ein eigenes Startverzeichnis als root voran, damit kann es nicht mehr auf Dateien außerhalb dieses Verzeichnisses zugreifen. Der Dienst hat somit keinen Zugriff auf das Dateisystem.

Setzen Sie das Kommando "chroot" einfach dem Startbefehl voran. Das sieht zum Beispiel so aus:

chroot libreoffice &