Käyttöoikeusrajoitetun ympäristön kytkentäisen verkon palvelut ja fyysisen verkkoadapterin hallinta

Abstract

Opinnäytetyössä kuvataan käyttöoikeusrajoitettu verkkosovelluksien kehittämisympäristö ja sen valmisteluun kehitetyt sovellukset. Työn tavoitteena oli kytkentäisen verkon palveluiden sijoitus käyttöoikeusrajoitettuun suoritusympäristöön. Työn tarkoituksena oli luoda vakaa menetelmä verkkoadapterin luovuttamiseksi käyttöoikeusrajoitetun käyttäjän verkkonimiavaruuteen riippumatta sen alustustavasta. Verkkoadapterin siirto käyttöoikeusrajoitetun käyttäjän verkkonimiavaruuteen myöntää sen hallintaan käytännössä rajattomat oikeudet. Perinteisesti kytkentäisen verkon palvelinohjelmistot suoriutuvat järjestelmän pääkäyttäjän oikeuksin siitä syystä, että raa'an verkkoliikenteen rajapinnan käyttö vaatii alustavasti varsin korkeat käyttöoikeudet. Työssä valmistelluissa käyttöoikeusrajoitetuissa nimiavaruuksissa palvelinohjelmistolle esiintyy pääkäyttäjän oikeudet sen kuitenkin ollessa isäntäjärjestelmän näkökulmasta käyttöoikeusrajoitettu.

Työssä kehitettiin rajallisesti korotetuilla käyttöoikeuksilla suoriutuvat työkalut verkkoadapterien verkkonimiavaruuksien väliseen siirtoon sekä MACVTap-verkkoadaptereja vastaavien laitetiedostojen luontiin. Toteutus tapahtui osana verkkokäynnistykseen pohjautuvan verkkoinfran palveluiden asennus- ja testausympäristön kokonaisuutta. Työkalut osoittautuivat hyödyllisiksi työasemalla, jolla kehitystyö nojautui vahvasti kontitusteknologioihin. Korotettuja käyttöoikeuksia vaadittiin ainoastaan capabilities-joukolla varustettujen suoritettavien tiedostojen asentamiseen.

Opinnäytetyö osoitti, että toteutus poistaa työaseman lisäoikeuksien vaatimukset kehitysympäristössä, jossa kehitettävä sovellus käyttää raa'an verkkoliikenteen rajapintaa. Lisäoikeuksien karsiminen voi lieventää mahdollisien haavoittuvuuksien vaikutusta ympäristöissä, joissa palvelinohjelmistoilla on pääkäyttäjän oikeudet ainoastaan alustavasti vaadittujen korkeiden käyttöoikeuksien vuoksi.

This thesis described the development of two system utilities, one to create character device nodes for the MACVTap interfaces in an unprivileged user's network namespace and another to move network interfaces across network namespaces. The applications proved useful on a workstation on which development heavily relied on container-focused workflows. Privileged access was required only to equip each utility with a capability set to elevate the specific permissions.

The objective of this thesis was to place server applications of a switched network in an unprivileged execution environment. The purpose of this thesis was to establish a method of moving network interfaces into a network namespace of an unprivileged user. Moving a network interface from the root network namespace into one of an unprivileged user's essentially grants the user unlimited access to the interface, which often appears to be the assumption with the server applications of switched networks. An unprivileged network namespace prepared in this manner appears to the inner applications as privileged, yet the rootless process appears unprivileged to the host.

Granting such access was shown to allow limiting user accounts' access to the privileged parts of development workstations in environments focusing on development of network applications that require raw network access.