Re: jail und Resourcen

Am 09.09.2002 um 02:15:24 schrieb Bernd Walter:

Hallo Bernd,

> Wow - 249 Zeilen Flickwerk an etliche tausend Zeilen Kernelcode.
> Meist du nicht, das da mal schnell was übersehen werden kann?

klar, aber das Flickwerk ist im Kernel, unabhängig davon, ob ich letztendlich
jail verwende oder nicht. Das Risiko, dass bei den Änderungen im Kernel was
übersehen/vergessen wurde trifft einen auch, wenn man jail nicht verwendet.

> > Wenn Du Dir dahingegen die Codebase vom apachen nebst Modulen anschaust, ist
> > allein durch die Codemenge klar gesagt, wo langfristig mehr Sicherheitsprobleme
> > zu erwarten sind.
>
> Mag ja sein, aber den hast du ja trotzdem noch.
> Du magst argumentieren, daß ja nur ein Jail betroffen ist, aber der
> Apachebug wäre ja dann identisch in allen Jails vorhanden.

ja, aber erstens bleibt die host Umgebung verschont und bei den angesprochenen
50 Jails wäre es unwahrscheinlich, dass alle 50 angegriffen werden, sofern
der Angreifer das Ziel hatte, eine spezifische Seite lahmzulegen.

> Packetfilter benutzt man oftmals sowieso nur um Mängel dahinter zu
> verbergen.

genau wie jail.

> Wenn ich einen Server betreibe, dann sind die Services in der Regel
> öffentlich, warum sollte ich dann also einen Packetfilter davorsetzen?

wie Peter schon sagte um ausgehende Pakete zu kontrollieren, oder zu verhindern,
dass ungewollte Services angeboten werden. Auch zur Feststellung unerlaubter
Verbindungsversuche hilfreich.

> > da portmap/mountd/nfsd sowohl als server, als auch als client _nur_ auf dem host
> > laufen ist das zusätzliche Risiko sehr gering, da der host ja (dank jail)
> > von aussen nicht direkt erreichbar ist.
> Das die von außen nicht ereichbar sien müssen ist klar, aber wieso das
> der Verdienst vom Jail ist leuchtet mir nicht ein.

weil portmap nur auf dem host läuft. Das ist nicht der Verdienst von jail,
allerdings handelt man sich eben _kein_ zusätzliches Risiko ein, was ja als
Argument gegen die Verwendung von jails genannt wurde.

> > wenn Du keine Jails verwendet, hat er evtl. sogar ALLE dein 50 vhosts
> > geschossen, da ja nur ein apache läuft. Bei Jails bleibt der Schaden auf die
> > angegriffenen jails begrenzt.
>
> Die Ansicht teile ich nicht.
> Wenn ich einen Apache abschiessen kann, dann bestimmt auch alle
> anderen

das angesprochene Szenario war ein Angreifer, der eine Kundenwebseite
lahmlegen möchte. In dem Fall hätte er wenig Grund, jedes der anderen jails,
von denen er nichtmal weiss dass sie auf dem selben Rechner liegen auch noch
lahmzulegen.

Wenn es dem Angreifer darum geht, möglichst viele Webserver in
einem IP-Bereich lahmzulegen hilft jail natürlich nicht.

In beiden Fällen bleibt mir aber die host-Umgebung erhalten, von der aus ich
den Schaden hoffentlich ohne Neuinstallation beheben kann.

Grüße

/ch

-- 
Wieviele Mitarbeiter von Microsoft benoetigt man fuer das auswechseln
einer defekten Gluehbirne? Keine, Microsoft erklaert die Dunkelheit zum
Marktstandart.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message