© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Alvar Freude <alvar(at)a-blast.org> wrote:
> Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> > Die »echten« IPs sind auf dem Host konfiguriert und
> > werden lokal (z.B. per IPFW-fwd) an die Ports des Jails
> > durchgereicht. Mit anderen Worten:
> >
> > *** Host *** *** Jail ***
> > ------------ ------------
> > 10.20.30.40:80 <--> 127.0.0.2:8001
> > 10.20.30.50:80 <--> 127.0.0.2:8002
> > 10.20.30.60:80 <--> 127.0.0.2:8003
>
> blöde Frage: wenn ich im Jail Adressen mit 127.x.y.z oder 10.x.y.z
> nutze, wie kann ich dafür sorgen dass das Jail mit privaten IP-Adressen
> aufs öffentliche Netz zugreifen können (z.B. zum Ports installieren)?
Gar nicht. Aus einem Jail heraus würde ich keinen Zugriff
auf außen lassen, wenn es nicht unerlässlich ist für den
Service, der im Jail läuft.
Die Ports-Collection (und alles, was dazugehört) würde ich
in einem Service-Jail niemals installieren. Solche Jails
sollten nichtmal make(1) oder eine Shell enthalten (es sei
denn, sie wird von Skripten benötigt). Pakete kann man
dort mit pkg_add installieren, wenn es sein muß.
> > Für den Notfall gibt es ja auch noch NAT. ;-)
>
> naja, man muss die Maschine ja nicht mit irgendwas belasten was nicht
> wirklich sinnvoll/nötig ist ;)
NAT ist eigentlich relativ leichtgewichtig.
> > Und wenn Du Vertrauen darin hättest, daß ein Angreifer im
> > Jail keinen erfolgreichen Root-Exploit durchführen kann,
> > dann mußt Du Dich fragen lassen, warum Du nicht einfach
> > ein klassisches chroot(8) anstelle von jail(8) verwendest.
> > Ohne Root-Rechte ist der Unterschied zwischen beiden nicht
> > so groß, und im chroot kannst Du mehrere IP-Adressen ver-
> > wenden (nämlich die des Hostes). ;-)
>
> ;-)
>
> Die Jails sind auch praktisch, um mehrere verschiedene Ports parallel zu
> installieren, die sich sonst ins Gehege kommen. Apache 2 und Apache 1.3
> zum Beispiel.
Das geht auch mit chroots. Dazu brauchst Du keine jails.
> Und ansonsten ist es mir natürlich lieber, dass ein Angreifer im
> Zweifelsfall auf einem Jail root-Zugriff hat als auf der gesamten
> Hardware.
Und wenn er im Jail root-Zugriff hat (bzw. es muß nichtmal
root sein) hat, dann kann er auch die im jail konfigurier-
ten IP-Adressen nutzen. Und aus diesem Grund ist es besser,
in Jails keine Interface-IPs zu verwenden, sondern localhost-
IPs. Wenn's blöd kommt, läuft sonst in Deinem Jail schon
mehrere Wochen lang ein IRC-Bot, eine Spam-Schleuder, ein
DDos-Slave, ein Hack-Sprungbrett oder sonstige böse Dinge,
bevor Du's überhaupt merkst.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "Python is an experiment in how much freedom programmers need. Too much freedom and nobody can read another's code; too little and expressiveness is endangered." -- Guido van Rossum To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 25 Jan 2006 - 15:32:37 CET