Re: gvinum & subdisks

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 21 Aug 2013 09:14:22 +0200 (CEST)

Peter Ross wrote:
> Das habe ich mit Jails gelöst: ein Dienst, ein Jail.

Das Prinzip setze ich auch erfolgreich auf einer Reihe von
Systemen ein (privat und beruflich).

> Wenn Du Jails Version 2 nimmst, bekommt auch jedes Jail einen
> Netzwerkstack (z.B. wichtig für die Firewalls).

Genau. Wobei es bei Firewalls nicht unsinnig wäre, sie auf
physikalisch getrennter Hardware laufen zu lassen, ganz
besonders wenn man richtige Firewalls aufsetzen möchte
(nach BSI-Definition) und nicht nur einen Paketfilter.
Wenn man es nicht ganz so dogmatisch sieht, kann man sich
auch VLANs (im Sinne von IEEE 802.1q) zunutze machen.

> Auf m5 läuft außerdem noch eine VirtualBox (ein zimbra-Mailserver unter
> Linux).

Ja, VirtualBox ist sehr praktisch, wenn man unter FreeBSD
etwas "Exotisches" laufen lassen muss.

> Im täglichen Betrieb sind die Jails wie eigene Maschinen - ich kann mich
> einloggen und tue alles, was ich sonst mit virtuellen Maschinen tuen
> könnte.

Jails sind ja im Grunde auch eine Virtualisierung, nur auf
einer anderen Ebene als das herkömmliche VM-Konzept, nämlich
auf Kernel-Ebene statt CPU-/Hardware-Ebene. Andererseits
lassen sich Kernel und Hardware ohnehin nicht trennen: Wer
den Kernel kontrolliert, kontrolliert auch die Hardware,
und umgekehrt. Und der Kniff bei den Jails ist ja gerade,
dass man dort keinen Zugriff auf Kernelstrukturen hat, die
eine Einfluss außerhalb des Jails haben -- es sei denn,
man gestattet bestimmte Dinge per Jail-Parameter oder per
sysctl, oder auf anderem administrativem Weg (NULLFS usw.)
Diese Flexibilität bieten virtuelle Maschinen überhaupt
nicht.

> Das Jail-Konzept ist schon einige Jahre da, der Code, der für die Trennung
> sorgt, relativ klein (nach Robert Watson bedurfte es ca. 600 Zeilen, um
> das zu implementieren) und daher relativ überschaubar und sicher.
>
> Auch VMs teilen sich die gleichen physischen Resourcen, und der Code ist
> recht komplex und bei VMWare nicht einmal Open Source (vermutlich mit NSA
> interface built-in;-) Es gibt Beispiele, wie man daraus ausbrechen kann.
> Ich habe schon lange nichts mehr über eine entdeckte Sicherheitslücke in
> der FreeBSD-Jail-Implementierung gehört.
>
> Bei Zertifizierung für eine Bank wurde das Jail-Konzept (als
> Solaris-Zones) als gleichwertig mit VMs eingestuft.
>
> Kurz: Ich glaube nicht, daß Du Deine Sicherheit erheblich erhöhst, in dem
> Du VMs anstatt Jails einsetzt.

Im Gegenteil. Dem Jails-Code (dessen Quelltexte ich auch
bereits genauer unter die Lupe genommen habe) würde ich
tausendmal mehr über dem Weg trauen als einem VMWare und
Windows XP (beides kein Open-Source, und beides von US-
amerikanischen Herstellern ...).

Ganz davon abgesehen, dass XP nicht ergonomisch ist und
man es nicht vernünftig administrieren kann. Ich hatte
neulich das Vergnügen, ein Windows 8 kurz anzutesten:
Selbst dort sind etliche eklatante Probleme immer noch
vorhanden, angefangen damit, dass man die Tastatur nicht
nach eigenem Gusto konfigurieren kann, über modale
Dialoge (das ist letztes Jahrtausend!) und ein unflexibles
Fokusmodell bis hin zu einem mittelalterlichen Scheduler,
der noch an Windows 3.1 erinnert und der es nicht auf die
Reihe bekommt, die CPU-Zeit vernünft auf die Vorder- und
Hintergrundprozesse aufzuteilen. Ich könnte stundenlang
so weitermachen ...

Sorry, ich schweife ab. :-)

Anstatt Zeit und Mühe in so einen verkorksten Setup zu
stecken (ob "Experiment" oder nicht -- auch Experimente
sollten einen Sinn ergeben), wäre es doch besser, gleich
etwas aufzubauen, das Hand und Fuß hat. FreeBSD mit Jails
ist jedenfalls erprobte Technik, effizienter und (aus
meiner Sicht) sicherer als einen Stapel von zwölf VM-
Klötzchen auf einer kleinen XP-Murmel zu balancieren.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG,  Marktplatz 29, 85567 Grafing
Handelsregister:  Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
HRB 125758, Geschäftsführer:  Maik Bachmann,  Olaf Erb,  Ralf Gebhart
FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
"A misleading benchmark test can accomplish in minutes
what years of good engineering can never do." -- Dilbert (2009-03-02)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 21 Aug 2013 - 09:14:33 CEST

search this site