Re: Re[1]: jail und Resourcen

From: Clemens Hermann <haribeau(at)gmx.de>
Date: Sun, 8 Sep 2002 18:03:03 +0200



Am 08.09.2002 um 16:02:37 schrieb Matthias Teege:



Hallo Matthias,



> Ganz genau. Bei der ganzen Jailerei sollte man nämlich sehr genau


> wissen, was man eigentlich vor wem beschützen möchte. Wenn ich den


> Apache Webserver für nicht vertrauenswürdig halte, sollte ich ihn


> nicht einzetzen. 



nach der Logik sollte man überhaupt keine Computer Verwenden, da kein


System/Programm grundsätzlich vertrauenswürdig ist. 


Imho ist jail duchaus recht gut dazu geeignet, um u.a. Software der man


nicht ganz vertraut (und der apache gehört sicher nicht als letzter in 


diese Kategorie) vom host zu trennen.  



> Im Falle eines Sicherheitsloches muß ich ihn sowieso


> in allen 50 Jails deaktivieren. 



nicht unbedingt. Wenn Du wirklich 50 Jails für apache Webhosting einsetzt,


wäre es weitaus einfacher, große Teile des userlands nur einmal vorzuhalten 


und per NFS in die jeweiligen jails zu mounten. Neben der enormen Platzersparnis


musst Du real auch nur ein jail patchen, wenn was auftritt. 



> Möchte ich nur verhindern, daß die


> Kunden während eines Remote Logins oder Dateiuploads durch das


> Filesystem browsen, reicht unter Umständen auch eine restricted


> shell. 



die sich ja durchaus auch im jail anbietet.



> Für diesen Fall muß der Webserver nicht in einer Jail laufen


> und ich muß nicht versuchen, die vorhandenen Features durch Workarounds


> wieder herzustellen. 



Welches feature funktioniert beim apache im jail nur mit workaround und auf


dem host hingegen direkt?


der apache ist aus diversen anderen Gründen noch ein Kandidat für jails, so ist


jail z.B: auch sehr wirkungsvoll, um Leute daran zu hindern per cgi/php etc. 


auf dem Rechner oder auch in Webverzeichnissen anderer Benutzer zu stöbern.



> Ob ein Angreifer, durch die Ausnutzung eines


> Loches nun den Webserver innerhalb oder außerhalb einer jail zum


> Absturz bringt, dürfte egal sein. 



jail erhebt ja auch nicht den Anspruch, vor "Abstürzen" zu schützen, sondern


lediglich einen Teil des Systems vom Rest abzuschotten (oder eher umgekehrt). 



Grüße



/ch



-- 
Wieviele Mitarbeiter von Microsoft benoetigt man fuer das auswechseln
einer defekten Gluehbirne? Keine, Microsoft erklaert die Dunkelheit zum
Marktstandart.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 08 Sep 2002 - 17:57:16 CEST













search this site