Analyse neuer minimaler Linux-Betriebssysteme – Sicherheit und Technik von Container-fokussierten Linux-Distributionen

Master Studiengang Information Security

Dipl.-Ing. Christoph Eibensteiner, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Das grundlegende Konzept von Container-Virtualisierung ist nicht neu: Vorläufer davon wurden bereits auf UNIX-Systemen in den späten 1970er Jahren verwendet. Innerhalb der letzten drei Jahre hat Container-Virtualisierung in der IT-Branche jedoch wieder erheblich an Bedeutung gewonnen. Ausgelöst wurde dieses große Interesse maßgeblich durch die Container-Plattform Docker. Rund um diesen Hype entstand auch eine Reihe neuer, minimaler Linux-basierter Betriebssysteme, die speziell für den Einsatz mit Containern entwickelt wurden. Die Aufmerksamkeit in der IT-Industrie in diesem Umfeld ist nach wie vor sehr groß. Das zeigt die Beteiligung einiger Branchengrößen, die sich sowohl an der Entwicklung der minimalen Linux-Derivate beteiligen, als auch an Projekten mitwirken, welche die Standardisierung von Containern voranbringen wollen.

Ziel

Als primäres Ziel dieser Arbeit gilt es nun festzustellen, wie Sicherheitsaspekte bei diesen neuen, minimalen Linux-Betriebssystemen berücksichtigt wurden und in welcher Art und Weise diese sich von klassischen Linux-Derivaten unterscheiden. Dazu werden die Techniken, die von diesen neuen, minimalen Linux-Distributionen verwendet werden, analysiert und anschließend mit klassischen Linux-Varianten verglichen. Weiters werden mögliche Einsatzgebiete der neuen, minimalen Linuxe betrachtet. Die abschließende Sicherheitsanalyse soll feststellen, wie sicherheitskritische Aspekte in deren Entwicklung eingeflossen sind.

Ergebnis

Die Sicherheitsanalyse zeigt, dass schon gute Grundlagen zur Optimierung der Systemsicherheit, die durch die Verfügbarkeit von Sicherheits-Frameworks und Authentifizierungs-Mechanismen zur Verfügung stehen, vorhanden sind. Dazu tragen auch die bei Systemupdates verwendeten Sicherheitsmechanismen bei. Natürlich wurden auch Risiken, die von Netzwerkdiensten und anderen eingesetzten Techniken ausgehen, untersucht. Eines der wesentlichen Unterscheidungsmerkmale zwischen klassischen und neuen, minimalen Linux-Betriebssystemen ist deren Fähigkeit, Systemupdates und -rollbacks in Form von atomaren Transaktionen durchzuführen.