Re: jail und Resourcen

From: Matthias Teege <matthias-dbsdq(at)mteege.de>
Date: Sun, 8 Sep 2002 19:46:48 +0200

On Sun, Sep 08, 2002 at 06:03:03PM +0200, Clemens Hermann wrote:
> > wissen, was man eigentlich vor wem beschützen möchte. Wenn ich den
> > Apache Webserver für nicht vertrauenswürdig halte, sollte ich ihn
> > nicht einzetzen.
>
> nach der Logik sollte man überhaupt keine Computer Verwenden, da kein
> System/Programm grundsätzlich vertrauenswürdig ist.

Das hängt natürlich von der konkreten Situation ab. Um meine Aussage
aber noch einmal zu präzisieren, folgendes: Ich bin der Meinung,
daß man die Installation komplizierter Konstrukte zur Übertünchung
der Schwachstellen eines Programms zu Gunsten einer einfachen
Software vermeiden sollte. Vermutlich benötigen die meisten Kunden
überhaupt kein PHP, Perl, SSL, FastCGI oder CGI. Beim Einsatz einer
dem konkreten Problem angemessenen Software, kann ich auf jails
verzichten.

> Imho ist jail duchaus recht gut dazu geeignet, um u.a. Software der man
> nicht ganz vertraut (und der apache gehört sicher nicht als letzter in
> diese Kategorie) vom host zu trennen.

Ja, Du schließt Software der Du nicht traust mit mehr Software der
Du nicht trauen kannst ein und verwendest weitere nicht vertrauenswürde
Software um die Features der ersten Software wieder herzustellen.
Jetzt mußt Du Bugtraq nicht nur nach Exploits für Apache und PHP
filtern sondern auch noch nach jail, nfsd, portmap, mountd und
rpc.statd.

> > Im Falle eines Sicherheitsloches muß ich ihn sowieso
> > in allen 50 Jails deaktivieren.
>
> nicht unbedingt. Wenn Du wirklich 50 Jails für apache Webhosting einsetzt,
> wäre es weitaus einfacher, große Teile des userlands nur einmal vorzuhalten

Das ist eine rethorische Aussage keine technische. :-) Fakt ist,
Du fährst die Software runter, mit oder ohne jail. Wäre das Ziel
des Angreifers, den Service Deiner Kunden lamzulegen, hätte er es
in diesem Moment erreicht. Löse das Problem!

> und per NFS in die jeweiligen jails zu mounten. Neben der enormen Platzersparnis
> musst Du real auch nur ein jail patchen, wenn was auftritt.

Ja, das genau meine ich mit zusätzlicher Komplexität.

> > Filesystem browsen, reicht unter Umständen auch eine restricted
> > shell.
>
> die sich ja durchaus auch im jail anbietet.

Ja, aber man muß sich das doch einmal genauer ansehen. Auf einen
Webserver gehören HTML Dateien, die sowieso veröffentlicht werden
sollen. Ob jemand nun via Webbrowser surft oder ls bevorzugt ist
doch nur eine Geschmacksfrage. Natürlich muß das System und der
Host geschützt werden und selbstverständlich gehört die Datenbank
mit den Bestell- und Kundendaten nicht auf den Webserver aber einen
wirklich sehr großen Teil kann man mit Benutzern, Gruppen und Flags
abdecken. Wie schützen sich die Kunden denn vor dem Systemadministrator?

> jail erhebt ja auch nicht den Anspruch, vor "Abstürzen" zu schützen, sondern
> lediglich einen Teil des Systems vom Rest abzuschotten (oder eher umgekehrt).

Selbstverständlich schützt eine jail nicht vor Abstürzen. Genau das
ist doch mein Argument. Die jail ist aber die letzte (bzw. die
erste, je nach Blickrichtung) Linie die man einziehen sollte. Vorher
sollte man seine Hausaufgaben gründlich erledigen und so ein System
ist auch ohne jail schon eine harte Nuß.

Bis dann
Matthias

-- 
Matthias Teege -- matthias@mteege.de -- http://www.mteege.de
make world not war
PGP-Key auf Anfrage
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 08 Sep 2002 - 20:00:54 CEST

search this site