Re: Jail- und Securelevel-Fragen

Moin,

On Sun, Nov 25, 2001 at 05:38:21PM +0100, Oliver Fromme wrote:
> Du mußt z.B. nicht in jedes Jail ein eigenes, vollständiges
> System installieren.

Man kann natuerlich auch ohne das beschriebene "NFS-loopback /
union mount"-Konstrukt sehr stark abgespeckte Jail-Umgebungen
installieren. Wir machen das z.B. in einer Web-Hosting-Umgebung.
In den einzelnen Jails gibt es nur sehr duenn besiedelte /etc,
/bin /usr/bin Verzeichnisse. Ausserdem ist der meiste Krempel
unter /usr/share in einem Jail voellig ueberfluessig.

> Es genügt, wenn Du das einmal irgend-
> wo tust, und dieses dann per NFS-Loopback-Mount in jedes
> einzelne Jail hineinmountest (read-only). Per union-mount
> kann man dabei die read-only-Verzeichnisse mit denen, die
> veränderbare Sachen enthalten sollen, überlagern. Sehr
> praktische Sache.

Hmmm. Fuehrt diese Vorgehensweise inzwischen wirklich zu einem
"produktionsreif stabilem" System? Als "union-mount" das letzte
Mal probiert habe, fuehrten Schreibzugriffe immer noch reprodu-
zierbar zu Kernel-Panics.

> > Wie war das noch mal mit dem inetd ? Der
> > läßt sich nicht einsperren, oder ?
>
> Doch, mit bestimmten Einschränkungen. Es kommt drauf an,
> welche Services Du per inetd anbieten möchtest.

Wir starten in einigen Jails einen "inetd". Das klappt stabil
und zuverlaessig. Man muss halt nur aufpassen, dass man ihn
mit "-a ${jail-ip}" startet, so dass er sich nur an exakt die
IP-Adresse des betreffenden Jails bindet.
Andererseits laufen auf einem "Jail-Host" eh so viele Prozesse,
dass es auf die paar "stand-alone" gestarteten Daemons (wie ftp,
mailserver, etc.) auch nicht ankommt.

-Andreas

-- 
: Anti-Spam Petition:     http://www.politik-digital.de/spam/          :
: PGP-Key:                http://www.tse-online.de/~ab/public-key      :
: Key fingerprint:  12 13 EF BC 22 DD F4 B6  3C 25 C9 06 DC D3 45 9B   :
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message