Re: Jail Konzept

From: Andreas Braukmann <braukmann(at)tse-online.de>
Date: Sat, 8 Feb 2003 17:54:15 +0100

On Sat, Feb 08, 2003 at 05:09:18PM +0100, Gistolero wrote:
> >Also ich habe mir ein ~/bin/sysupdate script erstellt, dass nach einem
> >make buildworld die benötigten Dateien in die Jails installiert. Dadurch
> >sind die Jail-Binaries vom System unabhängig. Kann man sehen, wie man
> >will, aber ich denke, die "Verschwendung" von 200K auf einer 40G Platte
> >ist echt vernachlässigbar.
>
> Dann hast Du weiterhin das Problem, dass Du bei jeder neuen Jail anfaengst,
> die Lib Abhaengigkeiten zu verfolgen.

Diesen Einwand habe ich jetzt nicht verstanden.

> entsprechenden Verzeichnisse aus dem System heraus in alle Jails mounte,
> bin ich mir hundert prozentig sicher, dass ich ueberall die gleiche
> Umgebung habe.

Es stellt sich die Frage, ob man wirklich in jedem Jail die gleiche
Umgebung haben moechte.

> [...]
>
> >env WRKDIRPREFIX=/var/tmp make install clean
> >sollte dem RW-Mount Bedürfnis Abhilfe schaffen können. Ich erlaube
> >generell keine RW-Mounts über NFS für Jails.
> >
> >Im Zweifel kann entweder das DISTFILES-Verzeichnis noch umgesetzt werden
> >oder aber auf dem Host ein 'make fetch-recursive' ausgeführt werden.
>
> Natuerlich wird es im wirklichen Betrieb nicht RW gemountet. Dient nur zum
> Installieren, dann fliegt RW wieder raus.

Mit dem WRKDIRPREFIX und vorab geholten Distfiles entfaellt die
Notwendigkeit des RW-Mounts aber vollstaendig. Das hat den grossen
Vorteil, dass man das Aufheben des Read/Write-Zustands auch nicht
vergessen kann.

Ich installiere innerhalb von Jails nach Moeglichkeit ausschliesslich
fertig gebaute Packages, die ich in einem Extra-Port-Build-Jail. Das
Package-Depot steht den einzelnen Jails dann (bei Bedarf) read-only
zur Verfuegung.

> >>Nachteile dieses Verfahrens:
> >>- Ein Angreifer, dem es gelingt in ein Jail einzudringen, hat alle
> >>Binaries des Systems zur Verfuegung.

Ich wuerde in einem Jail niemals Teile des Host-Systems zur Verfuegung
stellen. Das Host-System ist ausschliesslich fuer den Administrator
erreichbar (nach Moeglichkeit ueber einen dedizierten Zugang [serielle
Konsole, oder ein Interface in einem Admin-LAN]).
Die Binaries, die in den Jails (egal, ob ueber NFS-RO-Mounts oder Hard-
links oder, oder) verwendet werden sollen, liegen in einer Master-Jail-
Installation.

-Andreas

-- 
sick.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 08 Feb 2003 - 17:54:18 CET

search this site