Auf den ersten Blick scheint es, dass man mit der Anleitung auf der vorherigen Seite einen Container erzeugt hat, aus dem auch der Nutzer root nicht ausbrechen kann. Die recht einfache Konfigurationsdatei kann jedoch nur als Ausgangspunkt verwendet werden, um einen funktionierenden Container zu erzeugen.

Je nachdem welche Sicherheitsanforderungen bestehen, muss der Zugang zu physischen Devices, etwa /dev/sda oder /dev/kmem, verboten werden. Ansonsten kann der Superuser des Containers auf die gesamte Festplatte oder den physischen Hauptspeicher zugreifen.

Generell ist es sinnvoll, den Zugriff auf alle Devices zu verbieten und nur diejenigen zu erlauben, auf die der Container unbedingt zugreifen muss. Das lässt sich erreichen, indem man beispielsweise folgende Zeilen in die Config-Datei hinzufügt, die sich nach dem Erstellen des Containers mit lxc-create in /var/lib/lxc/<containername> befindet.

lxc.cgroup.devices.deny = a
# /dev/null and zero
lxc.cgroup.devices.allow = c 1:3 rwm
lxc.cgroup.devices.allow = c 1:5 rwm
# consoles
lxc.cgroup.devices.allow = c 5:1 rwm
lxc.cgroup.devices.allow = c 5:0 rwm
lxc.cgroup.devices.allow = c 4:0 rwm
lxc.cgroup.devices.allow = c 4:1 rwm
# /dev/{,u}random
lxc.cgroup.devices.allow = c 1:9 rwm
lxc.cgroup.devices.allow = c 1:8 rwm

Ferner sollte man dem Container alle Capabilities entziehen, die er nicht benötigt. Dazu gehören typischerweise das Laden von Kernelmodulen, die Erstellung eigener Devices (mknod) und das Ändern der MAC-Adresse des zugewiesenen Adapters. Das erreicht man durch Hinzufügen folgender Zeilen:

lxc.cap.drop = sys_module
lxc.cap.drop = mknod
lxc.cap.drop = mac_override

Diese Beispiele sind keine Anleitung für die sichere Konfiguration eines Containers. Dazu muss immer abgewogen werden, wer sich im Container als root anmelden darf und welche Aufgaben der Container übernehmen soll. Wer Containervirtualisierung mittels lxc im Produktivbetrieb einsetzen möchte, kommt nicht umhin, die Dokumentation auf sourceforge.net komplett zu durchzuarbeiten.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

2 Wochen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome

Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…

2 Wochen ago

Data Analytics: Dienstleister wachsen zweistellig

Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.

2 Wochen ago

Open-Source-Malware auf Rekordniveau

Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt

2 Wochen ago

Bayerische KI-Agentur bietet KI-KOMPASS

Das KI-Werkzeug "BAIOSPHERE KI-KOMPASS" soll Unternehmen den Einstieg in KI erleichtern.

2 Wochen ago

Cloudflare: Weltweiter Internettraffic wächst 2024 um 17,2 Prozent

Das Wachstum konzentriert sich wie im Vorjahr auf das zweite Halbjahr. Google dominiert bei den…

2 Wochen ago