Re: Jails: User kann aus Host Jail-Prozess killen?

On Sat, Jan 08, 2011 at 11:50:47AM +0100, Thomas Best wrote:
> Hi, ich habe mich sehr gewundert, dass man vom host aus mit user-rechten
> einen Jail-Prozess killen kann.
> Allerdings läuft der Jail-Prozess als user mit der selben UID / GID.
> Hängt da also host-jail zusammen?? Ich dachte, das wäre getrennt.

Nun - der Prozess aus dem Jail gehört dem User dann auch.
Ein Jail-Prozess hat Einschränkungen, aber ein anderer nicht, bzw.
der vom User auf dem host hat bereits die Einschränkung, dass er eben
nicht root ist.
Und mehr als Prozesseinschränkungen sind Jails auch gar nicht.
Man kann als Normaluser aus dem Wirt auch Prozesse mit Einschränkungen
starten - einfache chroot-Einschränkungen, MAC-Label, CPU-Zeit, ...
Derartige Einschränkungen werden vererbt, sodass ein Child eines
jail-Prozesses dann mit den gleichen Einschränkungen leben muss.
Wenn man sich z.B. per ssh auf einen jail einlogged, dann vererbt der
sshd seine Einschränkungen bis hinunter zur Login-Shell.

-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message