Re: Webserver mit Virthost auf mehreren IPs im Jail (Milti-IPJails)

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Sat, 21 Jan 2006 22:04:51 +0100 (CET)



Alvar Freude <alvar(at)a-blast.org> wrote:


 > Oliver Fromme <olli(at)lurza.secnetix.de> wrote:


 > > Die »echten« IPs sind auf dem Host konfiguriert und


 > > werden lokal (z.B. per IPFW-fwd) an die Ports des Jails


 > > durchgereicht.  Mit anderen Worten:


 > >  


 > >  *** Host ***          *** Jail ***


 > >  ------------          ------------


 > > 10.20.30.40:80  <-->  127.0.0.2:8001


 > > 10.20.30.50:80  <-->  127.0.0.2:8002


 > > 10.20.30.60:80  <-->  127.0.0.2:8003


 > 


 > an sowas in der Art dachte ich auch schon, aber der nächste Gedanke


 > war:


 > 


 > Wenn dann 127.0.0.2 antwortet, ist der dann nicht der Absender der Pakete


 > und es steht quasi die falsche IP drin?


 > 


 > Aber man ipfw sagt: "For packets forwarded locally, the local address of


 > the socket will be set to the original destination address of the


 > packet."


 > 


 > Damit dürfte es also tatsächlich gehen.



Für den Notfall gibt es ja auch noch NAT.  ;-)



 > > Außerdem ist es ein Sicherheitsgewinn, wenn das Jail keine


 > > echte Adresse besitzt:  Falls man jemand durch ein Loch die


 > > Kontrolle über das Jail gewinnt, kann er mit der localnet-


 > > IP ziemlich wenig anfangen, da sie nicht aus dem Jail


 > > heraus geroutet wird.


 > 


 > ja; wobei ich mir auch angewöhnt habe, per IPFW für den User www und


 > nobody etc. alle Zugriffe nach draußen zu blockieren. Ohne Root-Exploit


 > kommt man da auch nicht weit (das übliche ist ja bei den Web-Lücken,


 > dass die was externes nachladen).



Man kann nie genug Hindernisse in der Sicherheitskette ha-


ben.  Oft besteht eine erfolgreiche Kompromittierung eines


Rechnes aus vielen kleinen, für sich betrachtet harmlosen


Schritten.



Und wenn Du Vertrauen darin hättest, daß ein Angreifer im


Jail keinen erfolgreichen Root-Exploit durchführen kann,


dann mußt Du Dich fragen lassen, warum Du nicht einfach


ein klassisches chroot(8) anstelle von jail(8) verwendest.


Ohne Root-Rechte ist der Unterschied zwischen beiden nicht


so groß, und im chroot kannst Du mehrere IP-Adressen ver-


wenden (nämlich die des Hostes).  ;-)



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"C++ is over-complicated nonsense. And Bjorn Shoestrap's book
a danger to public health. I tried reading it once, I was in
recovery for months."
        -- Cliff Sarginson
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sat 21 Jan 2006 - 22:06:17 CET













search this site