© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Sun, Sep 08, 2002 at 12:30:35PM +0200, Bernd Walter wrote:
> Wobei ich auch nicht empfehlen kann alles in Jails zu packen, da
> der Overhead dafür doch recht groß ist.
Ganz genau. Bei der ganzen Jailerei sollte man nämlich sehr genau
wissen, was man eigentlich vor wem beschützen möchte. Wenn ich den
Apache Webserver für nicht vertrauenswürdig halte, sollte ich ihn
nicht einzetzen. Im Falle eines Sicherheitsloches muß ich ihn sowieso
in allen 50 Jails deaktivieren. Möchte ich nur verhindern, daß die
Kunden während eines Remote Logins oder Dateiuploads durch das
Filesystem browsen, reicht unter Umständen auch eine restricted
shell. Für diesen Fall muß der Webserver nicht in einer Jail laufen
und ich muß nicht versuchen, die vorhandenen Features durch Workarounds
wieder herzustellen. Ob ein Angreifer, durch die Ausnutzung eines
Loches nun den Webserver innerhalb oder außerhalb einer jail zum
Absturz bringt, dürfte egal sein. Er kommt dann vielleicht nicht
sofort weiter aber die zusätzliche Komplexität der jail birgt sicher
eigene Risiken.
Vielleicht hast Du ja noch einmal Lust, Dein Bedrohungsszenario zu
schildern.
Bis dann
Matthias
-- Matthias Teege -- matthias@mteege.de -- http://www.mteege.de make world not war PGP-Key auf Anfrage To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sun 08 Sep 2002 - 16:16:08 CEST