Es liegt in der Natur meiner Promotion, dass prinzipiell beliebigen Personen die Ausführungen ihrer Programme auf dem Server der Entwicklungsumgebung gestattet werden muss. Und weil nicht jede beliebige Person vertrauenswürdig ist, müssen diese Programme vom restlichen System isoliert werden. Mögliche Mechanismen existieren dafür in großer Zahl, anders wären Webhosting-Dienste oder Online-Compiler wie ideone.com schließlich überhaupt nicht denkbar.

Im Rahmen dieses Seminars soll untersucht werden:

• Welche Isolationsmechaniken lassen sich für den BlattWerkzeug-Server sinnvoll anwenden? Angedacht sind klassische Linux-Benutzerrechte, AppArmor oder möglicherweise auch Docker.
• Welche Lücken nutzen bösartige Programme klassischerweise aus?

Dazu sollen eigens geschriebene, bösartige Programme in einer Testsuite zusammengefasst und (möglichst) mit den gewählten Isolationsverfahren korrekt eingeschränkt werden. Die Bandbreite umfasst dabei schlicht schädliche Skripten (rm -rf /), triviale Versuche Passwörter auszulesen (cat /etc/shadow), über (BitCoin-)Miner (oder profane Endlosschleifen) bis hin zu Versuchen, einen Command and Control-Server aufzusetzen.

Umgebung: Mandatory Access Control Features des Linux Kernels (AppArmor, SE Linux), Docker