Wie man Hacker mit Apache und chroot in die Falle lockt

Ein völlig sicherer Server – ist das überhaupt möglich? Sicher nicht, aber auch die besten Maßnahmen helfen nicht, wenn nicht einmal einfache und enorm wirksame Vorkehrung getroffen werden. Hier ein paar Schritte für mehr Sicherheit.


Beschränkung des Apache-Zugriffs auf das Dateisystem:
Da Apache von einem versierten und zielstrebigen Hacker geknackt werden kann, besteht der Trick darin, den Zugriff von Apache auf einen eingeschränkten Bereich des Dateisystems zu begrenzen. Auf diese Weise erreicht ein Eindringling in das Apache-System überhaupt nichts – außer dass er einen Tunnel in eine Gefängniszelle gegraben hat. Die Attacke wurde auf einen bestimmten Bereich beschränkt und der Angreifer hat keinen Zugang zu jeglichen anderen Dateien.

Der UNIX-Systemaufruf chroot() ändert das Root-Verzeichnis sämtlicher ihn aufrufender Prozesse. Er kann ausschließlich von Root verwendet werden und wird wie folgt ausgeführt:



Dabei ist /tmp/root/directory das Root-Verzeichnis, das man benutzen will. Der chroot-Befehl ändert also das Root-Verzeichnis des aufrufenden Prozesses in /tmp/ und führt dort /bin/bash aus. Das Schöne an diesem geschickten Austausch ist, dass /bin/bash nichts von seiner Begrenzung weiß! Es sieht zwar sein Root-Verzeichnis, doch nicht das vorangehende Unterverzeichnis – es steckt also fest!

Wenn ein mit chroot blockiertes Programm auf diese Weise auf ein Unterverzeichnis beschränkt wurde, bleibt auch jeglicher Schaden, den seine Ausführung anrichten könnte, auf dieses Verzeichnis beschränkt. Natürlich kann man das als „Falle“ dienende Verzeichnis so einrichten, dass ein dort abgefangenes Hacker-Programm keinen Schaden verursachen kann. Beispielsweise kann man festlegen, dass keine Anwendungen zur Dateihandhabung oder Compiler oder andere dateiverarbeitende Software von dem jeweiligen Verzeichnis aus ausgeführt werden können.

Themenseiten: Anwendungsentwicklung, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Wie man Hacker mit Apache und chroot in die Falle lockt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *