© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
-- Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> Gar nicht. Aus einem Jail heraus würde ich keinen Zugriff
> auf außen lassen, wenn es nicht unerlässlich ist für den
> Service, der im Jail läuft.
aber es gibt eben auch Gründe, das zuzulassen. Sei es beispielsweise ein
Squid der einem lokalen Dienst zur Seite steht, ein Mailserver, ein
Testsystem für irgendwelche Ports oder ein Jail mit für Shell-Zugang
für andere Leute. Oder gar ein Jail mit X11-Applikationen, um vom Kunde
aus anständig ohne dummdoof-Filter Surfen zu können (solange man mit
SSH raus kommt).
> Die Ports-Collection (und alles, was dazugehört) würde ich
> in einem Service-Jail niemals installieren. Solche Jails
> sollten nichtmal make(1) oder eine Shell enthalten (es sei
> denn, sie wird von Skripten benötigt). Pakete kann man
> dort mit pkg_add installieren, wenn es sein muß.
manchmal geht man auch zum Komfortgewinn ein paar Kompromisse ein. Und
nicht alles muss hinter einem Hochsicherheitssystem stecken. Mehr Risiko
geht ja meist von irgendwelchen PHP-Hacks, AWstats und so weiter aus.
> NAT ist eigentlich relativ leichtgewichtig.
auch bei sehr vielen gleichzeitigen Verbindungen? Klar, eine
dahinterliegende Applikation zieht immer mehr ...
> > Die Jails sind auch praktisch, um mehrere verschiedene Ports
> parallel zu > installieren, die sich sonst ins Gehege kommen. Apache 2
> und Apache 1.3 > zum Beispiel.
>
> Das geht auch mit chroots. Dazu brauchst Du keine jails.
Mit Jails geht es auf jeden Fall einfacher, und da gibt es die
entsprechenden Verwaltungswerkzeuge.
> > Und ansonsten ist es mir natürlich lieber, dass ein Angreifer im
> > Zweifelsfall auf einem Jail root-Zugriff hat als auf der gesamten
> > Hardware.
>
> Und wenn er im Jail root-Zugriff hat (bzw. es muß nichtmal
> root sein) hat, dann kann er auch die im jail konfigurier-
> ten IP-Adressen nutzen.
klar.
Im Zweifelsfall kann man die z.B. auch nur temporär konfigurieren.
> Und aus diesem Grund ist es besser,
> in Jails keine Interface-IPs zu verwenden, sondern localhost-
> IPs. Wenn's blöd kommt, läuft sonst in Deinem Jail schon
> mehrere Wochen lang ein IRC-Bot, eine Spam-Schleuder, ein
> DDos-Slave, ein Hack-Sprungbrett oder sonstige böse Dinge,
> bevor Du's überhaupt merkst.
kann passieren, ja. Aber man kann das Risiko schön minimieren. Auch mit
den genannten Möglichkeiten -- aber manchmal braucht man eben
Netzzugriff, zumindest ich brauche es für einige Fälle, für andere
hätte ich es gerne aus Komfortgründen nur beim Installieren/Updaten.
Daher die Frage ...
Ciao
Alvar
-- ** Alvar C.H. Freude, http://alvar.a-blast.org/ ** http://www.wen-waehlen.de/ ** http://odem.org/ ** http://www.assoziations-blaster.de/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 25 Jan 2006 - 17:09:50 CET