LAPS4LINUX
Unser Beitrag zum Open-Source-Projekt
Windows LAPS (Local Administrator Password Solution) ist ein Sicherheitswerkzeug, das die Verwaltung lokaler Administratorpasswörter automatisiert und deren sichere Aufbewahrung über Microsoft Entra oder Active Directory ermöglicht. Zur Stärkung der Kontosicherheit rotiert LAPS die Passwörter in regelmäßigen Abständen automatisch und synchronisiert sie beispielsweise mit einem Active-Directory-Server innerhalb einer Windows-Domäne.¹
Doch wie können Linux-Systeme innerhalb einer Windows-Domäne mit diesem Werkzeug vergleichbar geschützt werden?
Hier ist das Open-Source-Software-Projekt LAPS4Linux² die Lösung. Das Python-basierte Projekt nutzt die LDAP-Schnittstelle von Active Directory, um das Verhalten von LAPS auf Windows-Systemen abzubilden – einschließlich der automatischen Rotation und Sicherung von Root-Passwörtern auf Linux-Systemen.
Optimierung LAPS4LINUX
Für den sicheren Einsatz der Software bei einem unserer Kunden haben wir ein umfassendes Review der Codebase von LAPS4LINUX durchgeführt und diese auf ihre Funktionsweise und potentielle Schwachstellen überprüft. Die Codebase, welche bereits zu Beginn einen sehr soliden und erprobten Eindruck auf uns gemacht hat, konnten wir durch vereinzelte Nachbesserungen noch weiter verbessern: sowohl im Hinblick auf Fehlerresistenz und Usability als auch in Sachen Sicherheit durch die Verwendung aktueller Kryptografiemodule.
Umgesetzte Anpassungen
Unsere Anpassungen umfassten im Wesentlichen drei Punkte:
Ersetzen eines Kryptografiemoduls zum Hashen der Passwörter. In diesem sensiblen Bereich wurde ein Modul eingefügt, dase dauerhaft aktuell gehalten wird und über die neusten Sicherheitsupdates verfügt.
Robustheit der Anwendung unter Zeitzonenwechsel auf dem Hostsystem durch durchgängige explizite Benutzung von UTC. Gerade mobile Desktop-Systeme können häufig einem Wechsel der Zeitzone ausgesetzt sein. Durch die durchgängige explizite Nutzung der koordinierten Weltzeit UTC bleibt das Verhalten von LAPS4LINUX auch beim Wechsel der Zeitzone konsistent und vorhersagbar.
“Hardening” des Anwendungsverhaltens im Fehlerfall, der entstehen kann bei fehlenden Schreibberechtigungen im Dateisystem. Zuvor konnte es in diesem exotischen Fall passieren, dass das lokale Passwort von seinem Backup divergiert. Ohne weitere unabhängige Sicherungsmaßnahmen hätte dies zu einem unwiderruflichen Verlust des root-Passworts geführt. Durch unsere Anpassung der Synchronisationslogik kann dieser Fehler nun ausgeschlossen werden.
Umsetzung im Kundenauftrag / Veröffentlichung im OSS-Projekt
Als Spezialisten für Open-Source-Software sind wir überzeugt, dass Softwarelösungen offen, frei und für alle zugänglich sein sollten. Daher verfolgen wir konsequent das Ziel, entsprechende Anpassungen, die aus einem Kundenauftrag stammen, nicht hinter verschlossenen Türen vorzunehmen, sondern sie gemeinsam mit unseren Auftraggebern öffentlich zugänglich zu machen. In diesem Sinne haben wir sämtliche Anpassungen an LAPS4Linux in das öffentliche Repository eingebracht.
| Topic | Link |
|---|---|
| Fix Q6 method calls | https://github.com/schorschii/LAPS4LINUX/pull/53 |
| Replacement of deprecations | https://github.com/schorschii/LAPS4LINUX/pull/54 |
| Fallback for failed local password update | https://github.com/schorschii/LAPS4LINUX/pull/55 |
| Correct import of timezone | https://github.com/schorschii/LAPS4LINUX/pull/56 |
| Proposal for contribution | https://github.com/schorschii/LAPS4LINUX/issues/52 |
Fazit
LAPS4LINUX leistet einen wichtigen Beitrag für die sichere Verwaltung von Root- und Administratorkonten für Linux-Systeme in Windows-Domänen. An dieser Stelle möchten wir uns bei dem Maintainer Georg Sieber (github.com/schorschii) für das Projekt bedanken. Wir freuen uns, dass wir durch die Anpassungen in Bezug auf die Sicherheit und Stabilität der Anwendung einen Beitrag zum LAPS4LINUX-Projekt leisten konnten.
Quellen
¹ https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview
² https://github.com/schorschii/LAPS4LINUX