© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Alvar Freude <alvar(at)a-blast.org> wrote:
> Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
>
> > Gar nicht. Aus einem Jail heraus würde ich keinen Zugriff
> > auf außen lassen, wenn es nicht unerlässlich ist für den
> > Service, der im Jail läuft.
>
> aber es gibt eben auch Gründe, das zuzulassen.
Klar, und in dem Fall läßt man es halt zu bzw. sorgt dafür,
daß es funktioniert -- und zwar genau das, was man braucht,
und nicht mehr. Das ist ja gerade einer der Hauptvorteile
von Jails: Du hast die volle Kontrolle über alles, was da-
rin passieren darf. Soll z.B. ein MTA auf Port 25 raus-
connecten dürfen, dann machst Du eine IPFW-Regel, die die
Jail-IP auf Zielport 25 herausleitet -- und sonst nichts.
Wenn Du dagegen dem Jail eine physikalische Interface-IP
gibst, ist das schon fast eine Freikarte für Eindringlinge,
mit der sie aus dem Jail heraus Unsinn anstellen können.
Ich verstehe halt nicht, wie man sich auf der einen Seite
die Mühe macht, Jails aufzusetzen, und dann auf halbem Weg
einfach stehenbleibt, anstatt Nägel mit Köpfen zu machen
und die Features zu nutzen, die Jails bieten.
> > Die Ports-Collection (und alles, was dazugehört) würde ich
> > in einem Service-Jail niemals installieren. Solche Jails
> > sollten nichtmal make(1) oder eine Shell enthalten (es sei
> > denn, sie wird von Skripten benötigt). Pakete kann man
> > dort mit pkg_add installieren, wenn es sein muß.
>
> manchmal geht man auch zum Komfortgewinn ein paar Kompromisse ein.
Mir ist nicht ganz klar, was an pkg_add unkomfortabel ist.
> > > Die Jails sind auch praktisch, um mehrere verschiedene Ports
> > > parallel zu
> > > installieren, die sich sonst ins Gehege kommen. Apache 2
> > > und Apache 1.3
> > > zum Beispiel.
> >
> > Das geht auch mit chroots. Dazu brauchst Du keine jails.
>
> Mit Jails geht es auf jeden Fall einfacher, und da gibt es die
> entsprechenden Verwaltungswerkzeuge.
Eine chroot-Umgebung aufzusetzen ist keinen Deut schwieri-
ger als bei einer jail-Umgebung. Ein Jail _ist_ ja nichts
weiter als ein Chroot, dem ein paar Zusatzfunktionen hinzu-
gefügt wurden.
> > > Und ansonsten ist es mir natürlich lieber, dass ein Angreifer im
> > > Zweifelsfall auf einem Jail root-Zugriff hat als auf der gesamten
> > > Hardware.
> >
> > Und wenn er im Jail root-Zugriff hat (bzw. es muß nichtmal
> > root sein) hat, dann kann er auch die im jail konfigurier-
> > ten IP-Adressen nutzen.
>
> klar.
> Im Zweifelsfall kann man die z.B. auch nur temporär konfigurieren.
Ja, das ist eine Möglichkeit. Finde ich aber umständlich.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. > Can the denizens of this group enlighten me about what the > advantages of Python are, versus Perl ? "python" is more likely to pass unharmed through your spelling checker than "perl". -- An unknown poster and Fredrik Lundh To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 25 Jan 2006 - 19:35:03 CET