Nicola Tiling <nt(at)w4w.net> wrote:
>
> > da es grundsätzlich empfeh-
> > lenswert ist, einem Jail keine offizielle IP-Adresse zu
> > geben, sondern z.B. eine aus dem localnet (127/8).
>
> Warum? Ich mach mir das Leben doch ziemlich kompliziert damit.
Sicherheitsmaßnahmen erhöhen leider selten die Bequemlich-
keit. ;-) Aber so kompliziert ist das nun auch wieder
nicht (möglicherweise sogar im Gegenteil: Durch diese Maß-
nahme kann man sich u.U. komplexere Paketfilterregeln spa-
ren). Es kommt natürlich immer auf den konkreten Setup an.
Es ist halt einfach nur eine zusätzliche Maßnahme zur Ab-
schottung des Jails. Da localnet-IPs nirgends geroutet
werden, stellen sie im Falle einer Kompromittierung ein
zusätzliches Hindernis für Angreifer dar.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "To this day, many C programmers believe that 'strong typing' just means pounding extra hard on the keyboard." -- Peter van der Linden To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 02 May 2006 - 15:08:53 CEST