Re: Jail-Ressourcelimits

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Mon, 23 Oct 2006 19:29:09 +1000 (EST)

On Mon, 23 Oct 2006, Oliver Fromme wrote:

> wenn der Netzwerkstack virtualisiert würde, so dass man
> pro Jail Default-Routen, mehrere IPs usw. festlegen könnte.
> Auch die Unterstützung von Jails durch Paketfilter ist der-
> zeit noch sehr mangelhaft.

Ich habe in der Richtung noch nichts erforscht, aber ich koennte mir
vorstellen, mit Pakettaging und -forwarding etwas erreichen zu koennen..

> Und der localhost-Hack, den
> Jails momentan haben, ist nicht nur verwirrend und Anti-
> POLA, sondern kann sicherheitstechnisch sogar sehr gefähr-
> lich werden (wenn z.B. jemand nichtsahnend in einem Jail
> einen Daemon auf 127.0.0.1 startet und glaubt, der sei von
> aussen nicht erreichbar, dann hat er ein ernstes Problem).

Ja.

Wobei da evt. auch im Hostenvironment Vorkehrungen dagegen getrofen
werden koennen.

Naja, ich verstehe ein Jail als eine Sandbox, um den Host zu schuetzen..
die Verantwortung fuer grundlegende Administration inklusive der
Sicherheit des jails liegt in der Hand des Host-Admins.

> Eine Resourcenkontrolle von CPU oder Speicher in Jails habe
> ich dagegen noch nie gebraucht. Die vorhandenen Nice-Werte
> und idprio/rtprio sowie Prozess-Limits (die leider immer
> mehr in Vergessenheit zu geraten scheinen) haben mir dafür
> bisher immer vollauf genügt.

ACK.

> Man soll ja bei Open-Source nicht meckern, sondern selbst
> Hand anlegen (was wiederum auch leichter gesagt als getan
> ist) ... Dennoch muss ich sagen, dass die Arbeit, die
> da in die Jails investiert wurde, meiner Meinung nach in
> die falsche Richtung gegangen ist. Zumal ja durchaus
> inoffizielle Patches für eine Netzwerkstack-Virtualisierung
> existieren, aber irgendwie scheinen die entscheidenden
> Leute das zu ignorieren. Vermutlich wieder mal ein
> Fahrradschuppen-Problem ...

Darueber kann ich nichts sagen..

Gruss
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 23 Oct 2006 - 11:31:39 CEST

search this site