Login
Login-Name Passwort


 
Newsletter
Werbung

Do, 16. Juli 2009, 13:01

Rootless X kommt

Die Mobilgeräte-Linux-Distribution Moblin hat als erste Distribution das Ziel erreicht, den X-Server ohne Root-Rechte laufen zu lassen.

Wie Arjan van de Ven bekannt gab, wird die kommende Version 2.0 der Mobilgeräte-Linux-Distribution Moblin eine entsprechend eingerichtete Variante von X.org enthalten, die keine Root-Rechte mehr benötigt. Moblin dürfte damit die erste Distribution sein, der dies gelingt.

Bisher muss der X-Server zur Ansteuerung der Hardware mit Root-Rechten laufen. Dies löste schon immer Sicherheitsbedenken aus, da es sich um umfangreichen Code handelt, der teilweise schon sehr alt ist und an manchen Stellen weniger gepflegt ist als an anderen. Da der X-Server mit dem setuid-Bit versehen ist, besitzt er alle Privilegien des Benutzers Root und eine Sicherheitslücke in X würde den gesamten Rechner kompromittieren. Auf das Ziel, den X-Server ohne Root-Rechte laufen zu lassen, wurde daher schon einige Jahre hingearbeitet.

Der letzte Mosaikstein war die Aufnahme der Grafikmodus-Umschaltung in den Kernel in Version 2.6.29. Dass dieses momentan nur mit Intel-Hardware funktioniert - ATI-Chips dürften bald folgen, doch für Nvidia-Chips könnte es noch länger dauern - tut dem Moblin-Projekt keinen Abbruch, da es primär auf Intel-Hardware ausgelegt ist und von Intel-Mitarbeitern gepflegt wird.

»Rootless X«, auch NRX genannt, baut darauf, dass der Server alle Geräte, die er ansprechen muss (Grafikchips, Eingabegeräte), über Gerätedateien nutzen kann. Die Permissions für die Gerätedateien können so gesetzt sein, dass der Benutzer, der X ausführt, alle nötigen Rechte hat. Dies wird üblicherweise bereits vom Login-Prozess erledigt.

Die Details, die noch zu beachten waren, um X tatsächlich ohne Root-Rechte laufen zu lassen, wurden am 1. Juli von Jesse Barnes in einem RFC beschrieben. Er fügte einen kleinen Patch an, der einen Systemaufruf für Nicht-Root-Benutzer zugänglich macht. Dies sei im Wesentlichen alles gewesen, was noch nötig war, schreibt er.

Über die Rootless X hinaus will das Moblin-Projekt im Rahmen von »Moblin Secure X« auch weitere Technologien zur Absicherung von X entwickeln.

Werbung
Kommentare (Insgesamt: 75 || Alle anzeigen || Kommentieren )
Re: sehr schöner schritt (Markus, Fr, 17. Juli 2009)
Re[9]: /dev/mem (Dread_Lord, Fr, 17. Juli 2009)
Re[7]: /dev/mem (Dread_Lord, Fr, 17. Juli 2009)
Re[6]: /dev/mem (fuffy, Fr, 17. Juli 2009)
Re[3]: /dev/mem (as, Fr, 17. Juli 2009)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung