Jaderné noviny – 20. 9. 2012: Postup v ověřování integrity systému

8. 10. 2012 | Luboš Doležel | Jaderné noviny | 3054×

Obsah

• Aktuální verze jádra: 3.6-rc3
• Citáty týdne: Tejun Heo, Alan Cox, Andrew Morton
• LSS: integrita adresářů a speciálních souborů

Aktuální verze jádra: 3.6-rc3

Aktuální vývojová verze jádra je 3.6-rc6 vydaná 16. září. Statistika je vcelku normální: dvě třetiny dělají ovladače, zbývající třetina je směs aktualizací v architekturách, souborových systémech (gfs2 a nfs) a různé obecně věci (plánovač, pracovní fronty a podobné). Linus doufá, že 3.6 bude venku brzo.

Stabilní aktualizace: verze 3.0.43, 3.4.11 a 3.5.4 vyšly 14. září s obvyklou dávkou důležitých oprav.

Citáty týdne: Tejun Heo, Alan Cox, Andrew Morton

Nejdřív musím říct, že to je pěkný bordel. Měl bych se za to stydět. Vy byste se za to měli stydět. My všichni, co jsme to dopustili, bychom se měli stydět. Než půjdeme dál, tak bychom měli aspoň deset sekund strávit s pocitem studu.

-- Tejun Heo

Cc: Mezci <stáj@vger.kernel.org>

-- Alan Cox

Lidé provozující gitové stromy dávají přednost opravným patchům vinou rozsáhlé neschopnosti.

-- Andrew Morton

LSS: integrita adresářů a speciálních souborů

Během posledních let získalo linuxové jádro schopnost zkoumat integritu souborů na disku v rámci ochrany proti offline útokům. Integrity Management Architecture (IMA) bylo přidáno do jádra 2.6.30 a pak následovaly další dílky skládanky, ale ještě to není hotové. Dmitry Kasatkin měl přednášku na Linux Security Summitu 2012 (LSS) ohledně rozšíření subsystému pro integritu, aby podporoval také obsah adresářů a různých speciálních souborů.

Ochrana integrity je nutná k tomu, aby bylo možné zabránit útočníkům ve změnách obsahu souborového systému bez vědomí jádra, tedy například odstraněním disku nebo nabootováním do jiného operačního systému. Integrita běhového prostředí je už řešená existujícími mechanismy řízení přístupu, jak Kasatkin řekl. Mezi ně patří mechanismy discretionary access control (DAC) jako tradiční unixová práva u souborů nebo schémata mandatory access control (MAC) jako u SELinuxu nebo Smack. Jenže tyto mechanismy závisí na důvěře v metadata pro řízení přístupu (např. bity oprávnění nebo rozšířené atributy s informacemi o zabezpečení), se kterými lze manipulovat pomocí offline útoku.

IMA zjišťuje integritu souborů počítáním kryptografického hashe z obsahu souboru, který je uložen v rozšířeném atributu (xattr) security.ima. IMA může být používána i s modulem TPM ke vzdálenému ověřování integrity spuštěného systému.

Modul pro rozšířenou validaci EVM byl přidán ve verzi 3.2 za účelem ochrany metadat souborů v inodeech proti offline útokům. Tato metadata zahrnují bezpečnostní xattr (včetně těch pro SELinux a Smack), práv, vlastníka, čísla inode apod. Opět se používá hash těchto hodnot, který EVM ukládá jako xattr security.evm.

V jádře 3.3 bylo přidáno rozšíření digitálních podpisů, které umožňuje podepisování atributů IMA a EVM. Kromě ukládání hashů v xattr může být ukládán a ověřován i digitální podpis hashe.

Funkčnost ověřování IMA, která je podle Kasatkina zacílena na jádro 3.7, zabrání v přístupu k souborům, jejichž IMA hash nesouhlasí s obsahem (soubor byl tedy upraven offline). Vyskytly se jisté problémy s uzamykáním, které bránily této funkci v začlenění, ale ty už byly vyřešeny.

Tyto dílky ale ještě nejsou vším, co je nutné pro skutečnou ochranu integrity. EVM chrání metadata inodů a IMA chrání obsah běžných souborů, jedna věc ale stále schází: názvy souborů. Na Linuxu inody názvy souborů neobsahují, ty sídlí v adresářích a vazba mezi názvem souboru a inodem není chráněna.

Následkem je to, že soubory je možné mazat, přejmenovávat či přesouvat v rámci offline útoku, aniž by to subsystém pro integritu detekoval. Kromě toho jsou symbolické odkazy a device nodes taktéž nechráněny, což znamená, že tyto soubory je možné přidávat, upravovat a mazat bez možnosti odhalení. Pomocí úprav obsahu adresářů je možné uskutečnit různé druhy útoků. Je například možné smazat soubor potřebný pro bootování nebo obnovit zazálohovanou verzi (spolu s odpovídajícími xatttr) programu, kde byly nalezeny zranitelnosti.

Kasatkin za pomoci dvou virtuálních systémů nasimuloval offline útok, kdy v jednom VM vytvořil soubory, pal disk připojil ve druhém VM a některé soubory změnil. Při použití existujícího kódu pro ochranu integrity nemohl přistoupit k upraveným souborům v původním VM, ale neměl problém v případě souborů, které byly přejmenovány nebo přesunuty (stejně tak nebyly odhaleny odstraněné soubory).

To vede k ochraně integrity adresářů a speciálních souborů, kterou navrhl. Pro adresáře budou přidány dva nové háčky ima_dir_check() a ima_dir_update(). Prvně jmenovaný by byl použit při vyhledávání cesty (z may_lookup()) a zabránil by v přístupu, pokud byly některé položky v adresáři nečekaně změněny. Když jsou pak adresáře aktualizovány na běžícím systému, tak je zavoláno ima_dir_update(), které upraví údaje o integritě, aby se v nich tyto úpravy odrazily.

Implementace ověřování začíná u kořenového inode při vyhledávání cesty. Při připojení souborového systému se nic neděje, ověřování probíhá až dle potřeby. Kdykoliv je alokováno dentry (cache položka adresáře), tak je toto ověřeno pomocí ima_dir_check(). Toto navrhované zpětné volání nerozbíjí procházení cest RCU, takže by nemělo způsobit problémy se škálováním na větších strojích. Údaj o integritě je počítán hashováním seznamu položek v adresáři s použitím čísla inode, názvu, typu a offsetu každého z nich; výsledek se ukládá v security.ima v tomto adresáři (které je pak chráněno pomocí EVM).

U speciálních souborů jako symbolických odkazů či device nodes byl přidán jeden nový háček: ima_link_check(). Ten je zavolán během vyhledávání cesty (follow_link()) a u systémového volání readlink(). Zde se vytváří hash cílové cesty v případě symbolických odkazů a major a minor čísla zařízení u device nodes. Hodnoty se opět zapisují do security.ima a ověřují se při přístupu.

Aktualizaci vyžaduje i sada uživatelských nástrojů pro nastavování ověřování integrity a vytváření obrazů, aby podporovala tyto nové funkce. Příkaz evmctl (součást balíčku ima-evm-utils) získal schopnost nastavovat referenční hashe pro adresáře a speciální soubory.

Kasatkin předvedl ochranu integrity s novým kódem. Při přesunu nebo přejmenování souboru není do adresáře, ve kterém je obsažen daný soubor, již možné vstoupit, takže příkazy jako ls nebo cd selžou s chybou EPERM. Ukázal také údaje o dopadu na výkon, který byl při srovnání s IMA/EVM bez speciálního zacházení s adresáři a speciálními soubory nevelký, ale při srovnání s vypnutým IMA/EVM už je rozdíl větší. Zajímavé je to, že oba typy IMA/EVM si vedly při kopírování souboru lépe než disk šifrovaný pomocí dm-crypt. Šifrování disků je pochopitelně dalším způsobem, jak zarazit offline útoky.

Mohlo by se zdát, že práce na subsystému integrity se blíží ke svému „dokončení“. Už nyní jsou k dispozici chybějící dílky; Kasatkin a další doufají, že budou v upstreamu brzy přijaty, ačkoliv poznamenal, že vývojáři VFS ještě nerevidovali jeho poslední patch. Ti z vás, kterým se podobná ochrana hodí, už nebudou muset čekat moc dlouho.

Nástroje: Tisk bez diskuse