Re: Jail-Ressourcelimits

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 24 Oct 2006 17:01:58 +0200 (CEST)

Peter Ross wrote:
> Oliver Fromme wrote:
>
> > wenn der Netzwerkstack virtualisiert würde, so dass man
> > pro Jail Default-Routen, mehrere IPs usw. festlegen könnte.
> > Auch die Unterstützung von Jails durch Paketfilter ist der-
> > zeit noch sehr mangelhaft.
>
> Ich habe in der Richtung noch nichts erforscht, aber ich koennte mir
> vorstellen, mit Pakettaging und -forwarding etwas erreichen zu koennen..

Mit einem gewissen Aufwand kann man Work-arounds schaffen,
aber besonders sauber ist das nicht. Und je komplexer die
ganze Sache wird (IPFW-FWD, NAT, ...), desto schwerer wird
die Pflege, und desto leichter schleichen sich auch Fehler
ein.

> > Und der localhost-Hack, den
> > Jails momentan haben, ist nicht nur verwirrend und Anti-
> > POLA, sondern kann sicherheitstechnisch sogar sehr gefähr-
> > lich werden (wenn z.B. jemand nichtsahnend in einem Jail
> > einen Daemon auf 127.0.0.1 startet und glaubt, der sei von
> > aussen nicht erreichbar, dann hat er ein ernstes Problem).
>
> Ja.
>
> Wobei da evt. auch im Hostenvironment Vorkehrungen dagegen getrofen
> werden koennen.

Unter Umständen ist das möglich, aber dazu muss man sich
erstmal des problems bewusst sein. Dokumentiert ist das
jedenfalls nicht, soweit ich weiss, und es verstößt gegen
das Verhalten, das man intuitiv erwarten würde.

(Ein Workaround ist einfach: Auf lo0 eine zusätzliche IP
konfigurieren -- z.B. 127.0.0.2 -- und dann diese anstelle
von 127.0.0.1 verwenden, um vom jail aus auf localhost zu-
zugreifen.)

> Naja, ich verstehe ein Jail als eine Sandbox, um den Host zu schuetzen..

Ja, sehe ich auch so.

> die Verantwortung fuer grundlegende Administration inklusive der
> Sicherheit des jails liegt in der Hand des Host-Admins.

Da hast Du völlig recht. Aber damit der Admin dazu in der
Lage ist, muss er über das Verhalten der Jails hinreichend
informiert sein. Oder das Default-Verhalten muss so sein,
dass im Zweifelsfall kein Schaden entsteht.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"I invented Ctrl-Alt-Delete, but Bill Gates made it famous."
        -- David Bradley, original IBM PC design team
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 24 Oct 2006 - 17:04:18 CEST

search this site