Hallo Clemens,
On Thu, 14 Feb 2002, Clemens Hermann wrote:
> Hallo,
>
> ich wuerde gerne IP-based virtual apache hosts in einem Jail betreiben.
> Da ich pro jail ja nur eine IP habe, faellt mir auf Anhieb nur ein,
> den httpd an verschiedene Ports binden zu lassen und per ipfw/nat die verschie-
> denen IPs auf verschiedene Ports im Jail zu mappen.
>
> Ist diese Idee realistisch, oder sollte man die Finger davon lassen?
Geht, wobei Du natuerlich mehr Sicherheit gewinnst, wenn Du je Virtuellem
Host eine IP vergibst (solange Du hast;-) und ein Jail aufbaust. Beispiel
Webhosting fuer Kunden - ein Einbruch -> ein Kunde geschaedigt oder eben
alle.
> Mich wuerden noch drei Dinge zum Thema Jails interessieren:
> - wie kann ich die ports des Host-Systems im Jail nutzen, um nicht in jedem
> Jail die Ports installieren zu muessen?
/usr/ports temporaer waehrend der Installation via NFS mounten.
> - Wie update ich ein Jail am besten? Ich kann ja nicht in jedem Jail nen
> eigenen Sourcetree pflegen.
Das Gleiche fuer /usr/src und /usr/obj.
> - ist es moeglich, ein jail weiter zu schroepfen, damit es nicht die 130 MB
> benoetigt?
NFS fuer /usr? Dann darf jail-root doch trotzdem nicht alles, wenn /usr
nicht mit Rootzugriff exportiert wurde. (Ich habe das noch nicht
probiert, ist nur eine Idee von mir)
/ ist ja ohne /var und /usr mit 25 MB zufrieden, /var haengt eher vom
Logwahn und /var/tmp ab, dan gibt es ja noch /tmp (evt. Link auf
/var/tmp).
Durch geeignete Firewalloptionen sollte man aber zusehen, dass keine
NFS-Pakete den Host verlassen oder erreichen koennen.
Sonst ist der ganze Sicherheitsaufwand fuer die Katz, weil man eine
huebsche neue Angriffsstelle geschaffen hat.
Neugierig, wie Du das loest;-)
gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 14 Feb 2002 - 14:40:48 CET