© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
-- Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> > > Die »echten« IPs sind auf dem Host konfiguriert und
> > > werden lokal (z.B. per IPFW-fwd) an die Ports des Jails
> > > durchgereicht. Mit anderen Worten:
> > >
> > > *** Host *** *** Jail ***
> > > ------------ ------------
> > > 10.20.30.40:80 <--> 127.0.0.2:8001
> > > 10.20.30.50:80 <--> 127.0.0.2:8002
> > > 10.20.30.60:80 <--> 127.0.0.2:8003
blöde Frage: wenn ich im Jail Adressen mit 127.x.y.z oder 10.x.y.z
nutze, wie kann ich dafür sorgen dass das Jail mit privaten IP-Adressen
aufs öffentliche Netz zugreifen können (z.B. zum Ports installieren)?
net.inet.ip.forwarding habe ich auf 1 gesetzt, die 10.x.y.z-Adressen die
ich zum Testen verwendete sind nicht an eine Netzwerkkarte gebunden
sondern auch nur Aliase auf dem Adapter des Hosts.
> Für den Notfall gibt es ja auch noch NAT. ;-)
naja, man muss die Maschine ja nicht mit irgendwas belasten was nicht
wirklich sinnvoll/nötig ist ;)
> > ja; wobei ich mir auch angewöhnt habe, per IPFW für den User www
> und > nobody etc. alle Zugriffe nach draußen zu blockieren. Ohne
> Root-Exploit > kommt man da auch nicht weit (das übliche ist ja bei
> den Web-Lücken, > dass die was externes nachladen).
>
> Man kann nie genug Hindernisse in der Sicherheitskette ha-
> ben. Oft besteht eine erfolgreiche Kompromittierung eines
> Rechnes aus vielen kleinen, für sich betrachtet harmlosen
> Schritten.
ja, schon richtig.
Ist aber auch immer eine Frage des Komforts. Wenn man selbst nicht aufs
Netz zugreifen kann, dann ist es eben auch ungeschickt mit dem
Installieren von Ports und so weiter. Solange sich sowas aber vom Host
aus an- und abschalten lässt, ist das ja OK.
> Und wenn Du Vertrauen darin hättest, daß ein Angreifer im
> Jail keinen erfolgreichen Root-Exploit durchführen kann,
> dann mußt Du Dich fragen lassen, warum Du nicht einfach
> ein klassisches chroot(8) anstelle von jail(8) verwendest.
> Ohne Root-Rechte ist der Unterschied zwischen beiden nicht
> so groß, und im chroot kannst Du mehrere IP-Adressen ver-
> wenden (nämlich die des Hostes). ;-)
;-)
Die Jails sind auch praktisch, um mehrere verschiedene Ports parallel zu
installieren, die sich sonst ins Gehege kommen. Apache 2 und Apache 1.3
zum Beispiel.
Und ansonsten ist es mir natürlich lieber, dass ein Angreifer im
Zweifelsfall auf einem Jail root-Zugriff hat als auf der gesamten
Hardware. Im Zweifellsfall ist es halt einfacher, das eine Jail neu
aufzusetzen als alles.
Nicht dass ich trotzdem ein relativ großes Vertrauen darauf habe, dass
ein Angreifer keinen Root-Exploit durchführen kann. Aber man weiß ja
nie!
Ciao
Alvar
-- ** Alvar C.H. Freude, http://alvar.a-blast.org/ ** http://www.wen-waehlen.de/ ** http://odem.org/ ** http://www.assoziations-blaster.de/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 25 Jan 2006 - 11:45:51 CET