Die zunehmende Relevanz containerisierter Infrastrukturen erhöht die Notwendigkeit einer
tiefgründigeren Beschäftigung mit den Sicherheitsmechanismen der zugrundeliegenden Betriebssysteme.
Systemaufrufe, als Schnittstelle zwischen Nutzerprozessen und privilegierten
Operationen des Kernels, sind ein idealer Ausgangspunkt, um Angriffe und deren Auswirkungen
einzuschränken.
Bisherige Arbeiten beschäftigten sich mit Methoden zur statischen oder testbasierten, dynamischen
Extraktion von Systemaufrufen aus Container Images. Beide Ansätze kommen mit
Einschränkungen bezüglich ihrer Vollständigkeit.
In dieser Arbeit wirdein neuer Ansatz zur Erstellung von dedizierten Seccomp-Profilen evaluiert.
Grundlegend können bestimmte Systemaufrufe auf die potenzielle Verwendung anderer
Systemaufrufe hindeuten. Folglich würde die Erarbeitung einer Systematisierungsstruktur
den Testaufwand zur Generierung von sicheren Profilen reduzieren, indem über Gruppen
dieser Struktur weitere Systemaufrufe zugelassen werden.
Es wurde untersucht, inwiefern eine solche Systematisierungsstruktur, basierend auf funktionalen
Kriterien, geeignet ist. Eine dementsprechende Zerlegung des Kernels hat gleichzeitig
einen operativen Nutzen zur verbesserten Kontextualisierung von Ereignismeldungen und
der kritischen Analyse des bestehenden Default Seccomp Profiles für Docker.
Die erarbeiteten Methoden zur Erzeugung und Bewertung des hier vorgestellten Ansatzes
lassen sich auf andere Systematisierungen von Systemaufrufen anwenden. Somit ließ sich experimentell
auch nachweisen, dass die gewählte funktionale Gruppierung von Systemaufrufen
nicht für die Extrapolation weiterer Systemaufrufe geeignet ist.
Dennoch leiten sich aus dieser Erkenntnis Implikationen zur Konzeption einer adäquaten
Systematisierungsstruktur ab.:1 Einleitung und Intension
1.1 Problembeschreibung
1.2 Zielstellung
1.3 Verwandte Arbeiten
2 Stand der Wissenschaft
2.1 Systemaufrufe
2.1.1 Spezifka der x86-64-Architektur
2.1.2 Arten von Systemaufrufen
2.2 Gefährdungen uneingeschränkter Systemaufrufnutzung
2.2.1 Kritische Systemaufrufe
2.2.2 Selten genutzte Systemaufrufe
2.3 Secure Computing Mode
2.4 Zwischenfazit
3 Systematisierungsansatz
3.1 Funktionale Gruppierung
3.2 Labeling kritischer und ungewöhnlicher Systemaufrufe
4 Praktische Evaluierung
4.1 Versuchsaufbau
4.2 Methodik der Beobachtung
4.3 Ergebnis
5 Zusammenfassung
Literatur
Abbildungsverzeichnis
Tabellenverzeichnis
Aufistungsverzeichnis
A Anhang
| Identifer | oai:union.ndltd.org:DRESDEN/oai:qucosa:de:qucosa:87208 |
| Date | 26 September 2023 |
| Creators | Kreyßig, Bruno |
| Contributors | Hochschule für Technik, Wirtschaft und Kultur Leipzig |
| Source Sets | Hochschulschriftenserver (HSSS) der SLUB Dresden |
| Language | German |
| Detected Language | German |
| Type | doc-type:masterThesis, info:eu-repo/semantics/masterThesis, doc-type:Text |
| Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0151 seconds