Andreas Braukmann wrote:
> On Sat, Feb 08, 2003 at 05:09:18PM +0100, Gistolero wrote:
>
>>>Also ich habe mir ein ~/bin/sysupdate script erstellt, dass nach einem
>>>make buildworld die benötigten Dateien in die Jails installiert. Dadurch
>>>sind die Jail-Binaries vom System unabhängig. Kann man sehen, wie man
>>>will, aber ich denke, die "Verschwendung" von 200K auf einer 40G Platte
>>>ist echt vernachlässigbar.
>>
>>Dann hast Du weiterhin das Problem, dass Du bei jeder neuen Jail anfaengst,
>>die Lib Abhaengigkeiten zu verfolgen.
>
> Diesen Einwand habe ich jetzt nicht verstanden.
>
Ich auch nicht. Ich verwende eine eigene make.conf für die Jails, die
z.B. nicht alle Compiler enthalten, kein Bind, ... - Und ich mounte alle
/bin, /usr ... für alle Jails von einem Filesystem, allerdings RO.
>>entsprechenden Verzeichnisse aus dem System heraus in alle Jails mounte,
>>bin ich mir hundert prozentig sicher, dass ich ueberall die gleiche
>>Umgebung habe.
>
> Es stellt sich die Frage, ob man wirklich in jedem Jail die gleiche
> Umgebung haben moechte.
Also ich nicht - daher hat jedes Jail sein eigenes etc/-verzeichnis, die
ich mit mergemaster problemlos aktuell halten kann. Da ich nicht jeden
Tag update, hält sich der Aufwand auch in Grenzen.
>>>env WRKDIRPREFIX=/var/tmp make install clean
>>>sollte dem RW-Mount Bedürfnis Abhilfe schaffen können. Ich erlaube
>>>generell keine RW-Mounts über NFS für Jails.
>>>
>>>Im Zweifel kann entweder das DISTFILES-Verzeichnis noch umgesetzt werden
>>>oder aber auf dem Host ein 'make fetch-recursive' ausgeführt werden.
>>
>>Natuerlich wird es im wirklichen Betrieb nicht RW gemountet. Dient nur zum
>>Installieren, dann fliegt RW wieder raus.
Ist doch egal, ob nur zur Installation und bei Upgrades, oder immer.
Also ich habe während eines Portupgrades kein permanentes 'finger' am
Laufen, so dass ich mit einem WRKDIRPREFIX IMHO besser laufe.
> Mit dem WRKDIRPREFIX und vorab geholten Distfiles entfaellt die
> Notwendigkeit des RW-Mounts aber vollstaendig. Das hat den grossen
> Vorteil, dass man das Aufheben des Read/Write-Zustands auch nicht
> vergessen kann.
Eben.
> Ich installiere innerhalb von Jails nach Moeglichkeit ausschliesslich
> fertig gebaute Packages, die ich in einem Extra-Port-Build-Jail. Das
> Package-Depot steht den einzelnen Jails dann (bei Bedarf) read-only
> zur Verfuegung.
Oder so. Ich mag packages aus irgendeinem Grund nicht, ist aber nur im
meinem Kopf irgenwie verquer. Daher finde ich dass so ganz gut.
>
>>>>Nachteile dieses Verfahrens:
>>>>- Ein Angreifer, dem es gelingt in ein Jail einzudringen, hat alle
>>>>Binaries des Systems zur Verfuegung.
>>>
>
> Ich wuerde in einem Jail niemals Teile des Host-Systems zur Verfuegung
> stellen. Das Host-System ist ausschliesslich fuer den Administrator
> erreichbar (nach Moeglichkeit ueber einen dedizierten Zugang [serielle
> Konsole, oder ein Interface in einem Admin-LAN]).
> Die Binaries, die in den Jails (egal, ob ueber NFS-RO-Mounts oder Hard-
> links oder, oder) verwendet werden sollen, liegen in einer Master-Jail-
> Installation.
Genau. Das Host-System liegt auf einer privaten Adresse und die
installierte ipf-Konfiguration lässt von ext->privat oder ext->local nix
durch. Dadurch kann dann auch niemand irgendwelche NFS-Bugs ausnutzen,
wenn er/sie das Jail gehackt hat.
Auf dem Plan steht noch, die Jails mit einem SecureLevel zu versehen,
aber dafür habe ich noch keine Testumgebung...
Gruß,
Jens
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 08 Feb 2003 - 18:22:12 CET