Willkommen im Schattenreich der Syscalls. Wir sind es, die PLUTEX IT-Superhelden, und wir sind hier, um dir zu zeigen, wie du Seccomp und Capabilities nutzen kannst, um die Rechte deiner Dienste auf das zu begrenzen, was sie tatsächlich brauchen. Kein Overkill, kein Superfluous-Kram — nur die pure Notwendigkeit.
Du kennst das Szenario: Du hast einen Service laufen und fragst dich, ob er wirklich die vollen Kapazitäten deines Kernels ausnutzen muss. Oder die Sicherheitsparanoia packt dich und du willst die Angriffsfläche deines Systems reduzieren. Hier kommen Seccomp und Capabilities ins Spiel.
Beginnen wir mit Seccomp. Dieses nette kleine Feature erlaubt es uns, die Syscalls, die ein Prozess machen darf, einzuschränken. Mit anderen Worten, wir setzen dem Prozess eine Zwangsjacke auf und lassen ihn nur die Bewegungen machen, die wir für ihn als sicher erachten.
Für unser Experiment nehmen wir den Apache-Webserver. Mit dem Befehl `strace -c -f -p $(pgrep apache2)` können wir alle Syscalls auflisten, die Apache während einer bestimmten Zeitspanne macht. Dann nutzen wir Seccomp, um einzuschränken, welche Syscalls Apache machen darf. Dazu führen wir `prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT)` in unserem Apache-Prozess aus. Jetzt ist Apache in einer Seccomp-Zwangsjacke und kann nur noch `read()`, `write()`, `_exit()` und `sigreturn()` Syscalls machen.
Aber keine Sorge, wir sind noch nicht fertig. Jetzt kommen Capabilities ins Spiel. Mit Capabilities können wir die Privilegien eines Prozesses noch weiter einschränken. Nehmen wir an, wir wollen, dass Apache nur noch auf Port 80 hört und sonst nichts. Kein Problem! Mit dem Befehl `setcap 'cap_net_bind_service=+ep' /usr/sbin/apache2` verleihen wir Apache genau diese Superkraft.
So, und jetzt genieße die Ruhe. Dein Apache-Server ist jetzt in einer Seccomp-Zwangsjacke und mit Capabilities ausgestattet, die seine Angriffsfläche reduzieren. Er kann nur noch das tun, was er wirklich braucht, und du kannst beruhigt schlafen.
Natürlich musst du diese Techniken an deine eigenen Bedürfnisse anpassen und gründlich testen. Aber jetzt weißt du, wie du die Kernelkräfte zähmen und deinen Diensten nur die Rechte geben kannst, die sie wirklich brauchen.
Bis zum nächsten Mal, wenn wir wieder in die Tiefe des Kernelreichs eintauchen. Bleib sicher und hab Spaß am Experimentieren!