Re: Jail- und Securelevel-Fragen

From: Oliver Fromme <olli(at)secnetix.de>
Date: Sun, 25 Nov 2001 17:38:21 +0100 (CET)

Bjoern Engels <bjoern.engels(at)mail.isis.de> wrote:
> On Sunday, 25. November 2001 00:40, Oliver Fromme wrote:
> > > Würde es großartig Sinn machen, jeden der Dienste in ein eigenes
> > > Jail zu packen, oder wäre das übertrieben ?
> >
> > Kann man durchaus machen.
>
> Hmm, da mir irgendwann der Plattenplatz ausgeht, werde ich wohl
> die den Webserver und Sendmail gemeinsam in eins packen und den
> Rest in ein zweites.

Es gibt diverse Tricks, um Plattenplatz zu sparen.

Du mußt z.B. nicht in jedes Jail ein eigenes, vollständiges
System installieren. Es genügt, wenn Du das einmal irgend-
wo tust, und dieses dann per NFS-Loopback-Mount in jedes
einzelne Jail hineinmountest (read-only). Per union-mount
kann man dabei die read-only-Verzeichnisse mit denen, die
veränderbare Sachen enthalten sollen, überlagern. Sehr
praktische Sache.

> Wie war das noch mal mit dem inetd ? Der
> läßt sich nicht einsperren, oder ?

Doch, mit bestimmten Einschränkungen. Es kommt drauf an,
welche Services Du per inetd anbieten möchtest.

> > Kandidaten für append-only sind Logfiles, d.h. was sich so
> > typischerweise unter /var/log tummelt. Immutable kann
>
> Wie extrem wirkt sich das nicht mehr mögliche Logrotate denn auf
> die Größen der Logs aus ?

Genau das ist einer der administrativen Nachteile eines er-
höhten Secure-levels (und einer der Gründe, warum ich es
nicht verwende).

Wie sehr es sich auswirkt, hängt stark von Deinem System
ab, d.h. was alles für Dienste und Programme laufen, Deine
syslog.conf, wie gut die Dienste frequentiert sind (z.B.
kann ein Apache-Logfile ziemlich rasant wachsen, wenn Du
einen beliebten Webserver betreibst) usw.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 25 Nov 2001 - 17:38:22 CET

search this site