Het probleem is dat de logboekfunctionaliteit bij een optredend probleem geen alarm slaat via het beeldscherm, maar gewoon stopt met het wegschrijven van informatie in het logboek. Systeembeheerders moeten maar gissen wat er aan de hand is en kunnen niet meer ontdekken dat er bijvoorbeeld een aanval op hun systeem wordt uitgevoerd.

Ogenschijnlijk niet-gerelateerd

Security Enhanced Linux (SELinux) is een set applicaties ontwikkeld door de Amerikaanse veiligheidsdienst NSA en vormt een uitbreiding voor Linux-besturingssystemen. SELinux is onder andere in staat om bestanden beter af te schermen van verschillende applicaties. Zo heeft niet alle software direct toegang tot configuratie-informatie.

In dit geval blijkt het probleem te zitten in een lijst met standaard poortnummers, /etc/services. Wie bijvoorbeeld VMware installeert of verwijdert, verandert onbewust dit bestand en de software zet achteraf de rechten niet meer goed. Vanaf dat moment zal het logboek stoppen met het loggen van de gebeurtenissen op het systeem. Omdat er geen verdere informatie beschikbaar is, begint voor de beheerder een ingewikkelde zoektocht naar de oorzaak van het probleem.

Oplossing

Unix-goeroe David van Enckevort ontdekte het probleem en confronteerde zijn leverancier Red Hat ermee. Initieel dacht het bedrijf dat dit geen probleem was en wilde het met een vermelding in de knowledgebase afdoen.

Omdat van Enckevort het probleem te ernstig vond, schreef hij een patch die ervoor zorgt dat de logboeksoftware nu wel alarm slaat. Red Hat was overtuigd en heeft inmiddels een feature request opgemaakt om naar een definitieve oplossing te zoeken. De patch is beschikbaar via een discussieforum en de expert geeft via zijn eigen site de broncode vrij. Overigens zijn ook andere distributies zoals Debian en Fedora kwetsbaar.

Bron: Techworld