© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
danke für die Erläuterung. Dann muss man also dafür sorgen, dass sich die
UID/GIDs
des hosts nicht gleich denen in den jails sind.
Wie ist das zwischen den jails, wenn ich da z.b. in zwei jails zwei
mailserver hab,
der eine gecrackt ist, dann sollten die doch - trotz selber uids -
voneinander
separiert sein, oder?!
On Sat, 08 Jan 2011 13:26:03 +0100, Bernd Walter <ticso(at)cicely7.cicely.de>
wrote:
> On Sat, Jan 08, 2011 at 11:50:47AM +0100, Thomas Best wrote:
>> Hi, ich habe mich sehr gewundert, dass man vom host aus mit user-rechten
>> einen Jail-Prozess killen kann.
>> Allerdings läuft der Jail-Prozess als user mit der selben UID / GID.
>> Hängt da also host-jail zusammen?? Ich dachte, das wäre getrennt.
>
> Nun - der Prozess aus dem Jail gehört dem User dann auch.
> Ein Jail-Prozess hat Einschränkungen, aber ein anderer nicht, bzw.
> der vom User auf dem host hat bereits die Einschränkung, dass er eben
> nicht root ist.
> Und mehr als Prozesseinschränkungen sind Jails auch gar nicht.
> Man kann als Normaluser aus dem Wirt auch Prozesse mit Einschränkungen
> starten - einfache chroot-Einschränkungen, MAC-Label, CPU-Zeit, ...
> Derartige Einschränkungen werden vererbt, sodass ein Child eines
> jail-Prozesses dann mit den gleichen Einschränkungen leben muss.
> Wenn man sich z.B. per ssh auf einen jail einlogged, dann vererbt der
> sshd seine Einschränkungen bis hinunter zur Login-Shell.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 08 Jan 2011 - 13:48:51 CET