Am 22.01.2003 um 19:39:32 schrieb Oskar Eyb:
> On Mon, Jan 20, 2003 at 09:42:14PM +0100, Oliver Fromme wrote:
> >
> > (In der Praxis gibt es leider manchmal Gründe, warum das
> > nicht möglich oder nicht praktikabel ist.)
>
> In der Praxis steht und fällt die Sicherheit mit der
> jail-Implementierung.
Die Änderungen, die am System (insbesondere kernel) vorgenommen
wurden damit jail überhaupt erst funktioniert, hast Du mit oder ohne
Verwendung von jail. jail Selbst hat weniger Quellcode als eine DinA-4
Seite.
> Für chroot-Umgebungen gibt es AFAIK als root-User
> Möglichkeiten auszubrechen, wie ist das bei Jails?
anders
> Müsste doch im
> Prinzip ähnlich sein.
nein, weil jail eben weit mehr macht als nur das Filesystem-root zu ändern.
> Weiterhin halte ich es für ein erhöhten Aufwand zusätzlich zu dem Hostsystem
> alle Jails und derren Serverdienste upzudaten.
Du musst nur einmal den Host und einmal ein master-jail updaten. Das kannst
Du dann (z.B. per NFS-loopback mounts) in die einzelnen jails hängen.
Sicherheit ist eine Kosten-Nutzen Abwägung. Man überlegt sich, welche Folgen
ein Angriff haben könnte und was man folglich bereit ist, zum Schutz davor zu
investieren. Verglichen mit den Kosten (Setup-Aufwand, erhöhter Wartungsaufwand)
bietet jail dabei sehr oft ein gutes "Preis-/Leistungsverhältnis".
> Soweit vorhanden ordentliche Software nehmen
Es bietet sich auch durchaus an, innerhalb eines Jails "ordentliche" Software zu
verwenden. Innerhalb eines Jails kann ja bei einem erfolgreichen Angriff durchaus
beachtlicher Schaden entstehen.
> und den Rest einsperren -
> vorausgesetzt man findet neben DJB-
es gibt ja bekanntlich neben Sicherheitsaspekten noch andere Kriterien bei der Auswahl
von Software.
> oder Theoware*g* was für den Betrieb
> außerhalb von chroot-Umgebungen. (Wobei diese teilweise in eigenen
> chroots läuft)
man kann z.B. bei qmail jail auch dazu misbrauchen, den smtpd an eine bestimmte IP zu
binden, was ansonsten nicht ohne patchen geht.
> Tja, leider ist in der realen Welt doch einiges anders.. :(
und genau da bietet einem jail einen konzeptionell sauberen Ansatz, unabhängig von der
konkret verwendeten Software.
Grüße
/ch
-- "Contrary to popular belief, Unix is user friendly. It just happens to be selective about who it makes friends with." To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 22 Jan 2003 - 22:19:13 CET