Re: Jails: User kann aus Host Jail-Prozess killen?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Sun, 9 Jan 2011 13:45:35 +0100 (CET)



Thomas Best <Thomas.Best(at)freenet.de> wrote:


 > Hi, ich habe mich sehr gewundert, dass man vom host aus mit user-rechten


 > einen Jail-Prozess killen kann.


 > Allerdings läuft der Jail-Prozess als user mit der selben UID / GID.


 > Hängt da also host-jail zusammen?? Ich dachte, das wäre getrennt.



Wie Bernd schon erläutert hat, sind nur Jails den Separa-


tionseinschränkungen unterworfen.  Alles, was nicht in


einem Jail läuft, ist auch keinen Einschränkungen unter-


worfen, und das bedeutet, dass ein User natürlich auch


seine eigenen Prozesse killen kann.



Wenn man mit Jails arbeitet, sollten auf dem Host-System


eigentlich nur noch vertrauenswürdige Benutzer arbeiten


können (also Admins).  Alles andere sollte sich in Jails


abspielen, auch Login-Shells von normalen Benutzern.



Ich habe das auch schonmal bei Kunden so eingerichtet,


dass der sshd(8), der auf den externen Interfaces lauscht,


in einem Jail läuft, so dass man beim Einloggen grundsätz-


lich erstmal in einem Jail ist, egal ob Admin oder nicht.


Für die Admins läuft zusätzlich nochmal ein sshd(8) auf


dem Host, der nur auf einem localhost-Alias (127.0.0.22)


lauscht.  Man kann das noch beliebig weitertreiben, je


nach Paranoia-Anforderungen.



Hinzufügen möchte ich noch, dass ich grundsätzlich empfehle,


dass die UIDs aller Jails disjunkt sind.  Das heißt, User


in verschiedenen Jails sollten auch verschiedene UIDs haben.


Anderenfalls würde man sich das Leben nur unnötig schwer-


machen, da es sonst leicht zu Verwechslungen in den Ausgaben


von ps, ls usw. kommen kann.  Und bei einem menschlichen


Fehler (z.B. Dateien ins falsche Jail verschoben) kommt es


auch nicht sofort zu einem Sicherheitsleck.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"If you think C++ is not overly complicated, just what is a protected
abstract virtual base pure virtual private destructor, and when was the
last time you needed one?"
        -- Tom Cargil, C++ Journal
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 09 Jan 2011 - 13:45:57 CET













search this site