Re: 1st time jail

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 4 May 2006 09:29:25 +0200 (CEST)

Dejan Grujin <dgrujin(at)edv-dg.de> wrote:
> Ich komme von extern nicht auf den ssh vom jail. Logischerweise hört
> ja das hostsystem auf dem 22er. Ist hier auch ein fwd angebracht? Bzw
> sollte ich da extra einen port aufmachen und den dann forwarden?

Es gibt da tausend Möglichkeiten, wie man das machen kann,
und alle haben ihre Vor- und Nachteile.

Zunächstmal ist es häufig sinnvoll, wenn man von außen gar
nicht per ssh ins Jail kommt. Ich nehme an, Du hast einen
Zugang zum Hostsystem per ssh. In dem Fall kannst Du ein-
fach einen sshd im Jail auf der Jail-IP laufen lassen (kann
auch ein anderer Port als 22 sein), so daß Du vom Host ins
Jail hineinkommst. Theoretisch kannst Du sogar telnet an-
stelle von ssh hernehmen.

Andererseits: Muß Du Dich unbedingt ins Jail einloggen
können? Wozu brauchst Du das? Meistens ist das gar nicht
unebdingt notwendig, da man das übliche Jail-Management
auch von außerhalb machen kann. Für einige Dinge kann
man auch einfach ein chroot(8) in das Jail machen (z.B.
um ein pkg_add zu machen oder so).

Sich in ein Jail einloggen zu können hat immer den Nach-
teil, daß diverse Dinge im Jail vorhanden sein müssen, die
auch Angreifern das Leben leichter machen (z.B. eine Shell,
diverse Binaries wie ls, cat usw.). Im Idealfall sollte
in einem Jail _nur_ der Daemon vorhanden sein, der den
Dienst implementiert, und Dinge, die er zwingend benötigt
(Libraries, Konfigurationsdateien, Content u.ä.).

Übrigens habe ich es auf einem meiner Rechner spaßeshalber
mal genau umgekehrt gemacht: Im Hostsystem läuft _kein_
sshd, und es gibt keine Möglichkeit, sich von außen auf
dem Host einzuloggen. Stattdessen läuft ein sshd in einem
Jail, das mein normales User-Home enthält. Wenn ich mich
einlogge und normal arbeite, bin ich also die ganze Zeit
in einem Jail. Falls ich etwas am Host-System administrie-
ren muß, mache ich ein "telnet 127.1" und lande auf dem
Host.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
Perl is worse than Python because people wanted it worse.
        -- Larry Wall
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 04 May 2006 - 09:33:06 CEST

search this site