jail und Sicherheit

From: Manfred Lotz <manfred.lotz(at)web.de>
Date: Mon, 12 May 2003 21:03:50 +0200

Hi eveybody,

Ich bin am Thema jail und Sicherheit dran und habe da einen Artikel gefunden
in SysAdmin: http://www.samag.com/documents/s=1151/sam0105d/

Ich würde gerne mal die Punkte aus dem Artikel zusammenfassen, die m.E.
wichtig sind und meine Fragen oder Bemerkungen dazutun. Für kritische
Anmerkungen bzw. Korrekturen bin ich dankbar.

-- quota auf das Jail directory setzen
Frage: Reicht es da aus das jail-directory einem user als owner zuzuordnen und
diesem User eine quota zu verpassen?

-- ip-services auf dem host-system so einstellen, dass sie nur auf der eigenen
ip-adresse lauschen

-- entsprechend die gewünschten ip-services im jail so einstellen, dass sie
nur auf die eigenen Adresse lauschen.

-- Sysctl MIB Entries folgendermassen setzen
        security.jail.set_hostname_allowed: 0
        security.jail.socket_unixiproute_only: 1
        security.jail.sysvipc_allowed: 0

-- in der Datei login.conf zumindest folgende Werte sicherstellen
 default:\
:maxproc=30:\
:memoryuse=25M:\

und der Datei ein schg flag verpassen.

-- In /etc/rc.conf des jails folgendes setzen:
        kern_securelevel_enable="YES"
        kern_securelevel=2

und der datei /etc/rc.conf ein schg flag verpassen.

In dem oben genannten Artikel wird gesagt, das ich den secure level nicht
unabhängig vom Hostsystem setzen kann. Meine Beobachtung ist, das auf meinem
FreeBSD 5.0 dies möglich ist. Auf meinem Hostsystem (hockt hinter einem
DSL-Router) ist kern_securelevel_enable="NO" gesetzt und dennoch kann ich
dies im Jail setzen, was ich auch gut finde. Ist dies ein neues Feature?

-- in den firewall settings dem Jail alles deny-en, bis auf das was wirklich
benötigt wird.

Habe ich alles wesentliche erwähnt oder was wichtiges vergessen. Z.B. andere
Dateien, die mit einem schg flag versehen werden sollten?

Manfred

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 12 May 2003 - 21:04:00 CEST

search this site