Re: Jails: User kann aus Host Jail-Prozess killen?

From: Bernd Walter <ticso(at)cicely7.cicely.de>
Date: Sat, 8 Jan 2011 14:01:00 +0100

On Sat, Jan 08, 2011 at 01:48:43PM +0100, Thomas Best wrote:
> Hi,
>
> danke für die Erläuterung. Dann muss man also dafür sorgen, dass sich die
> UID/GIDs
> des hosts nicht gleich denen in den jails sind.

Naja - Prozesse und Co können die denoch von allen Jails sehen.
Besser nur vertrauenswürdige Leute auf die host-Umgebung lassen, also
letzlich Admins.

> Wie ist das zwischen den jails, wenn ich da z.b. in zwei jails zwei
> mailserver hab,
> der eine gecrackt ist, dann sollten die doch - trotz selber uids -
> voneinander
> separiert sein, oder?!

Ja - die Prozesse sind jeweils eingeschränkt.
Default nicht voneinander separiert sind jedoch geteilte Resourcen,
wie CPU, Speicher, ...
Man kann aber auch Prozesse auf bestimmte CPUs begrenzen und z.B.
ein Jail auf einer 4 CPU-Maschine nur mit einer CPU starten.
Ist halt eine Frage dessen wie weit man das treiben will.

> On Sat, 08 Jan 2011 13:26:03 +0100, Bernd Walter <ticso(at)cicely7.cicely.de>
> wrote:
>
> >On Sat, Jan 08, 2011 at 11:50:47AM +0100, Thomas Best wrote:
> >>Hi, ich habe mich sehr gewundert, dass man vom host aus mit user-rechten
> >>einen Jail-Prozess killen kann.
> >>Allerdings läuft der Jail-Prozess als user mit der selben UID / GID.
> >>Hängt da also host-jail zusammen?? Ich dachte, das wäre getrennt.
> >
> >Nun - der Prozess aus dem Jail gehört dem User dann auch.
> >Ein Jail-Prozess hat Einschränkungen, aber ein anderer nicht, bzw.
> >der vom User auf dem host hat bereits die Einschränkung, dass er eben
> >nicht root ist.
> >Und mehr als Prozesseinschränkungen sind Jails auch gar nicht.
> >Man kann als Normaluser aus dem Wirt auch Prozesse mit Einschränkungen
> >starten - einfache chroot-Einschränkungen, MAC-Label, CPU-Zeit, ...
> >Derartige Einschränkungen werden vererbt, sodass ein Child eines
> >jail-Prozesses dann mit den gleichen Einschränkungen leben muss.
> >Wenn man sich z.B. per ssh auf einen jail einlogged, dann vererbt der
> >sshd seine Einschränkungen bis hinunter zur Login-Shell.
>
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message

-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 08 Jan 2011 - 14:02:34 CET

search this site