Variable Filesysteme

Warum ist es sinnvoll, die Nutzung variabler Dateisysteme zu beschränken? Das ist Thema unserer ersten Security-Kolumne.

Nicht erst seit dem "Shitrix" -Hack vor ein paar Jahren ist bekannt, dass man variable Filesysteme von Linux-Servern vor Missbrauch schützen sollte. 

Mit "Shitrix" wurde der Angriff auf eine Firewall eines bekannten Herstellers benannt. Hier nutzte ein Angreifer eine Schwachstelle im Webapplikationsserver aus, transportierte Schadsoftware auf den Server und legte es im tmp-Verzeichnis ab. Aus diesem Verzeichnis gestartet tauchte sie in der Prozessliste mit dem recht unauffälligen Namen „httpd“ auf. Erst wenn man die Prozessliste mit dem Parameter für den kompletten Startpfad versah, konnte man die Anomalie erkennen. Weiter gelang es dem Angreifer, einen entsprechenden Cronjob einzurichten, der sicher stellte, dass diese Schadsoftware immer lief.

Um zu verhindern, dass variable Filesysteme wie definierte tmp- und var-Verzeichnisse für Angriffe anfällig werden, lagert man diese auf eigene Partitionen aus und mountet sie dann parametrisiert mit NOEXEC, NOSUID und/oder NODEV in den Linux-Dateibaum zurück. Damit wird ein Start von Schadsoftware aus diesen allgemein zugänglichen Verzeichnissen wirksam unterbunden. An dieser Stelle sind die Härtungsanleitungen des "Center for Internet Security" immer eine gute Empfehlung.

Abschließend sei erwähnt, dass dem Administrator bei dieser Firewall-Appliance die Hände gebunden waren. Lernen kann man dennoch davon.

Haben Sie Fragen zur sicheren Implementierung ihrer IT-Systeme? Oder benötigen Sie Unterstützung bei einem Incident ? Wir sind gern für Sie da!