EPISODE · Mar 28, 2026 · 28 MIN
bindzwirn: Linux Port-Berechtigungen per eBPF (clt26)
from Chaos Computer Club - recent audio-only feed · host Pluto
Bei Self-Hosting zuhause, im Hackerspace oder auf dem VPS bietet es sich an, Services in separaten Unix-Accounts zu betreiben; zum Beispiel als rootless podman Container. Das verbessert die Isolation der Services und erlaubt eine administrative Trennung. Meist werden jedoch lokale IP-Ports genutzt, um die einzelnen Dienste mit einem zentralen Reverse-Proxy zu verbinden. Da Linux von Haus aus keine Berechtigungen für IP-Ports unterstützt, habe ich mich auf die Suche nach einer geeigneten Lösung begeben, den Zugriff auf bestimmte Ports auf bestimmte Accounts zu begrenzen. Meine Lösung war die Entwicklung von bindzwirn, einem drop-in replacement für authbind, das dank eBPF auch mit moderner Software und Containern gut funktioniert. Im Vortrag erkläre ich: - ein einfaches beispielhaftes Hosting-Setup - ein Angriffsszenario, in dem von einem gekaperten Account aus ein Service eines anderen Accounts kompromittiert wird - warum bestehende Lösungen wie authbind ungeeignet waren - wie eBPF es erlaubt, Linux um die fehlende Funktionalität zu ergänzen - mein Projekt bindzwirn Ich freue mich über Feedback zu meinem Projekt und die Diskussion von Themen wie Self-Hosting, eBPF und mehr. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://chemnitzer.linux-tage.de/2026/de/programm/beitrag/353
What this episode covers
Bei Self-Hosting zuhause, im Hackerspace oder auf dem VPS bietet es sich an, Services in separaten Unix-Accounts zu betreiben; zum Beispiel als rootless podman Container. Das verbessert die Isolation der Services und erlaubt eine administrative Trennung. Meist werden jedoch lokale IP-Ports genutzt, um die einzelnen Dienste mit einem zentralen Reverse-Proxy zu verbinden. Da Linux von Haus aus keine Berechtigungen für IP-Ports unterstützt, habe ich mich auf die Suche nach einer geeigneten Lösung begeben, den Zugriff auf bestimmte Ports auf bestimmte Accounts zu begrenzen. Meine Lösung war die Entwicklung von bindzwirn, einem drop-in replacement für authbind, das dank eBPF auch mit moderner Software und Containern gut funktioniert. Im Vortrag erkläre ich: - ein einfaches beispielhaftes Hosting-Setup - ein Angriffsszenario, in dem von einem gekaperten Account aus ein Service eines anderen Accounts kompromittiert wird - warum bestehende Lösungen wie authbind ungeeignet waren - wie eBPF es erlaubt, Linux um die fehlende Funktionalität zu ergänzen - mein Projekt bindzwirn Ich freue mich über Feedback zu meinem Projekt und die Diskussion von Themen wie Self-Hosting, eBPF und mehr. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://chemnitzer.linux-tage.de/2026/de/programm/beitrag/353
NOW PLAYING
bindzwirn: Linux Port-Berechtigungen per eBPF (clt26)
No transcript for this episode yet
Similar Episodes
Mar 26, 2026 ·1m
Feb 8, 2026 ·4m
Jan 30, 2026 ·6m
Jan 2, 2026 ·47m