Re: Jail- und Securelevel-Fragen

From: Bernd Walter <ticso(at)cicely8.cicely.de>
Date: Sun, 25 Nov 2001 21:57:27 +0100



On Sun, Nov 25, 2001 at 07:07:10PM +0100, Andreas Braukmann wrote:


> Moin,


> 


> On Sun, Nov 25, 2001 at 05:38:21PM +0100, Oliver Fromme wrote:


> > Du mußt z.B. nicht in jedes Jail ein eigenes, vollständiges


> > System installieren.  


> 


> Man kann natuerlich auch ohne das beschriebene "NFS-loopback /


> union mount"-Konstrukt sehr stark abgespeckte Jail-Umgebungen


> installieren. Wir machen das z.B. in einer Web-Hosting-Umgebung.


> In den einzelnen Jails gibt es nur sehr duenn besiedelte /etc,


> /bin /usr/bin Verzeichnisse. Ausserdem ist der meiste Krempel


> unter /usr/share in einem Jail voellig ueberfluessig.



Alzu große Mounttabellen wirken sich eher negativ auf die Performance


aus und NFS tut da sein übriges.


Hardlink + immuteable machts ohne den ganzen Ballast und ich kann


die Binaries einzeln bestimmen die ich im Jail haben möchte.


Ein weiter Vorteil von Hardlinks ist, daß das System auch erkennen


kann welche Binaries physikalisch identisch sind und somit nur


einmalig im Speicher liegen müssen.



> > Es genügt, wenn Du das einmal irgend-


> > wo tust, und dieses dann per NFS-Loopback-Mount in jedes


> > einzelne Jail hineinmountest (read-only).  Per union-mount


> > kann man dabei die read-only-Verzeichnisse mit denen, die


> > veränderbare Sachen enthalten sollen, überlagern.  Sehr


> > praktische Sache.


> 


> Hmmm. Fuehrt diese Vorgehensweise inzwischen wirklich zu einem


> "produktionsreif stabilem" System? Als "union-mount" das letzte


> Mal probiert habe, fuehrten Schreibzugriffe immer noch reprodu-


> zierbar zu Kernel-Panics.



Da ist einiges getan worden um das stabil zu bekommen.


In der -current ist läuft das angeblich recht gut.


Über den Zustand in -stable kann ich nichts sagen.



> >  > Wie war das noch mal mit dem inetd ? Der


> >  > läßt sich nicht einsperren, oder ?


> > 


> > Doch, mit bestimmten Einschränkungen.  Es kommt drauf an,


> > welche Services Du per inetd anbieten möchtest.


> 


> Wir starten in einigen Jails einen "inetd". Das klappt stabil


> und zuverlaessig. Man muss halt nur aufpassen, dass man ihn


> mit "-a ${jail-ip}" startet, so dass er sich nur an exakt die


> IP-Adresse des betreffenden Jails bindet.



Wildcard listen innerhalb eines Jails werden automatisch auf die


Jail-IP reduziert.


Man muß nur außerhalb von Jails aufpassen.



-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 25 Nov 2001 - 22:01:07 CET













search this site