jkois 2008-09-24 09:09:06 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/jails chapter.sgml
Log:
Loeschen/Korrektur aller ueberfluessigen/fehlerhaften Einrueckungen.
Loeschen aller doppelt eingefuegter Abschnitte.
Revision Changes Path
1.10 +411 -717 de-docproj/books/handbook/jails/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/jails/chapter.sgml,v
retrieving revision 1.9
retrieving revision 1.10
diff -u -I$FreeBSDde.*$ -r1.9 -r1.10
--- chapter.sgml 11 Sep 2008 14:26:10 -0000 1.9
+++ chapter.sgml 24 Sep 2008 09:09:05 -0000 1.10
@@ -150,133 +150,130 @@
<sect1 id="jails-intro">
<title>Einführung</title>
- <para>Aufgrund der Tatsache, dass die Systemadministration eine
- schwierige und verblüffende Aufgabe ist, wurden viele mächtige
- Werkzeuge entwickelt, welche das Leben der Administratoren
- erleichtern. Diese Werkzeuge bieten meistens Verbesserungen aller
- Art wie Systeme installiert, konfiguriert und gewartet werden.
- Teil der Aufgaben, welche auf einen Administrator zukommen ist
- die Sicherheit des Systems so zu konfigurieren, so dass es
- den regulären Betrieb fortführen kann, ohne dabei
- Sicherheitsverstöße zu erlauben.
- </para>
-
- <para>Eines der Werkzeuge, welche dazu benutzt werden können, die
- Sicherheit eines &os; Systems zu verbessern sind Jails. Jails
- wurden in &os; 4.X von &a.phk; eingeführt, wurden jedoch in
- &os; 5.X stark aufgebessert, um sie so zu einem mächtigen und
- flexiblen Subsystem zu machen. Jails werden immer noch weiter
- entwickelt: Bessere Zweckmäßigkeit, Leistung, Ausfallsicherheit, und
- Sicherheit.</para>
-
+ <para>Aufgrund der Tatsache, dass die Systemadministration eine
+ schwierige und verblüffende Aufgabe ist, wurden viele mächtige
+ Werkzeuge entwickelt, welche das Leben der Administratoren
+ erleichtern. Diese Werkzeuge bieten meistens Verbesserungen aller
+ Art wie Systeme installiert, konfiguriert und gewartet werden.
+ Teil der Aufgaben, welche auf einen Administrator zukommen ist
+ die Sicherheit des Systems so zu konfigurieren, so dass es
+ den regulären Betrieb fortführen kann, ohne dabei
+ Sicherheitsverstöße zu erlauben.
+ </para>
+
+ <para>Eines der Werkzeuge, welche dazu benutzt werden können, die
+ Sicherheit eines &os; Systems zu verbessern sind Jails. Jails
+ wurden in &os; 4.X von &a.phk; eingeführt, wurden jedoch in
+ &os; 5.X stark aufgebessert, um sie so zu einem mächtigen und
+ flexiblen Subsystem zu machen. Jails werden immer noch weiter
+ entwickelt: Bessere Zweckmäßigkeit, Leistung, Ausfallsicherheit, und
+ Sicherheit.</para>
<sect2 id="jails-what">
- <title>Was ist ein Jail</title>
+ <title>Was ist ein Jail?</title>
- <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten von
- 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu
- benutzt werden das root-Verzeichnis einer Reihe von Prozessen
- zu ändern, um so eine seperate, sichere Umgebung, abgeschnitten
- vom Rest des Systems zu schaffen.
- Prozesse, welche In einer chroot-Umgebung
- erstellt wurden, können nicht auf Dateien oder Resourcen zugreifen,
- welche sich ausserhalb der Umgebung befinden. Aus diesem Grund
- sollte ein kompromittierter Dienst dem Angreifer nicht erlauben,
- gleich das komplette System zu kompromittieren. Das &man.chroot.8;
- Werkzeug ist für einfache Aufgaben geeignet, welche keine
- flexiblen, komplexen oder fortgeschrittenen Eigenschaften
- benötigen. Seit beginn des chroot-Konzepts war aber bereits klar,
- dass trotz vieler gefundenen, und in modernen Versionen des &os;
- Kernels beseitigten Möglicheiten aus einer chroot-Umgebung
- auszubrechen, das &man.chroot.2; nicht die ideale Lösung war,
- einen Dienst sicher zu machen. Ein neues Subsystem musste
- implementiert werden.
- </para>
+ <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten von
+ 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu
+ benutzt werden das root-Verzeichnis einer Reihe von Prozessen
+ zu ändern, um so eine seperate, sichere Umgebung, abgeschnitten
+ vom Rest des Systems zu schaffen.
+ Prozesse, welche In einer chroot-Umgebung
+ erstellt wurden, können nicht auf Dateien oder Resourcen zugreifen,
+ welche sich ausserhalb der Umgebung befinden. Aus diesem Grund
+ sollte ein kompromittierter Dienst dem Angreifer nicht erlauben,
+ gleich das komplette System zu kompromittieren. Das &man.chroot.8;
+ Werkzeug ist für einfache Aufgaben geeignet, welche keine
+ flexiblen, komplexen oder fortgeschrittenen Eigenschaften
+ benötigen. Seit beginn des chroot-Konzepts war aber bereits klar,
+ dass trotz vieler gefundenen, und in modernen Versionen des &os;
+ Kernels beseitigten Möglicheiten aus einer chroot-Umgebung
+ auszubrechen, das &man.chroot.2; nicht die ideale Lösung war,
+ einen Dienst sicher zu machen. Ein neues Subsystem musste
+ implementiert werden.
+ </para>
<para>Dies ist einer der Hauptgründe warum
- <emphasis>Jails</emphasis> entwickelt wurden.</para>
+ <emphasis>Jails</emphasis> entwickelt wurden.</para>
- <para>Jails setzt auf dem traditionellen &man.chroot.2; Konzept
- auf und verbessert es auf verschiedensten Wegen. In einer
- traditionellen &man.chroot.2; Umgebung sind Prozesse auf den
- Abschnitt des Dateisystems beschränkt, auf den sie zugreifen
- können. Der Rest der Systemresourcen (wie zum Beispiel eine Reihe
- von Systembenutzer, die laufenden Prozesse oder das Netzwerk
- Subsystem) teilen sich die chroot-Prozesse mit dem Host-System.
- Jails dehnt dieses Model nicht nur auf Virtualisierung des Zugriffs
- auf das Dateisystem aus, sondern auch auf
- eine Reihe von Benutzern, das Netzwerk Subsystem des &os; Kernels
- und ein paar andere Dinge. Eine ausführlichere Übersicht der
- ausgefeilten Bedienelemente um eine Jail-Umgebung zu konfigurieren
- finden Sie in <xref linkend="jails-tuning">.</para>
+ <para>Jails setzt auf dem traditionellen &man.chroot.2; Konzept
+ auf und verbessert es auf verschiedensten Wegen. In einer
+ traditionellen &man.chroot.2; Umgebung sind Prozesse auf den
+ Abschnitt des Dateisystems beschränkt, auf den sie zugreifen
+ können. Der Rest der Systemresourcen (wie zum Beispiel eine Reihe
+ von Systembenutzer, die laufenden Prozesse oder das Netzwerk
+ Subsystem) teilen sich die chroot-Prozesse mit dem Host-System.
+ Jails dehnt dieses Model nicht nur auf Virtualisierung des Zugriffs
+ auf das Dateisystem aus, sondern auch auf
+ eine Reihe von Benutzern, das Netzwerk Subsystem des &os; Kernels
+ und ein paar andere Dinge. Eine ausführlichere Übersicht der
+ ausgefeilten Bedienelemente um eine Jail-Umgebung zu konfigurieren
+ finden Sie in <xref linkend="jails-tuning">.</para>
<para>Ein Jail zeichnet sich durch folgende Merkmale aus:</para>
<itemizedlist>
- <listitem>
- <para>Ein Unterverzeichnisbaum — der Startpunkt von wo aus
- das Jail einsteigt. Einmal innerhalb des Jails ist ein
- Prozess nicht mehr dazu berechtigt aus diesem
- Unterverzeichnisbaum auszubrechen. Traditionelle
- Sicherheitsangelegenheiten welche das originale &man.chroot.2;
- plagten betreffen &os; Jails nicht mehr.</para>
- </listitem>
-
- <listitem>
- <para>Ein Hostname — der Hostname welcher innerhalb des Jails
- verwendet wird. Jails werden hauptsächlich dafür verwendet,
- Netzwekdienste anzubieten, somit kann es für den Systemadministrator
- von großem Nutzen sein für jedes Jail einen beschreibenden Hostnamen
- zu haben.</para>
- </listitem>
-
- <listitem>
- <para>Eine <acronym>IP</acronym> Adresse — diese wird dem Jail
- zugewiesen und kann während des laufenden Jail-Betriebs nicht
- verändert werden. Die IP Adresse eines Jails ist üblicherweise
- ein Adressalias auf eine existierende Netzwerkschnittstelle,
- dies ist jedoch nicht zwingend erforderlich.</para>
- </listitem>
-
- <listitem>
- <para>Ein Kommando — der Pfadname einer ausführbaren Datei
- welche innerhalb des Jails ausgeführt werden soll. Dies verhält
- sicht relativ zum root-Verzeichnis einer Jail-Umgebung und
- kann gemäß der Art der Jail-Umgebung stark variieren.</para>
- </listitem>
- </itemizedlist>
+ <listitem>
+ <para>Ein Unterverzeichnisbaum — der Startpunkt von wo aus
+ das Jail einsteigt. Einmal innerhalb des Jails ist ein
+ Prozess nicht mehr dazu berechtigt aus diesem
+ Unterverzeichnisbaum auszubrechen. Traditionelle
+ Sicherheitsangelegenheiten welche das originale &man.chroot.2;
+ plagten betreffen &os; Jails nicht mehr.</para>
+ </listitem>
+
+ <listitem>
+ <para>Ein Hostname — der Hostname welcher innerhalb des Jails
+ verwendet wird. Jails werden hauptsächlich dafür verwendet,
+ Netzwekdienste anzubieten, somit kann es für den Systemadministrator
+ von großem Nutzen sein für jedes Jail einen beschreibenden Hostnamen
+ zu haben.</para>
+ </listitem>
- <para>Unabhängig davon können Jails eine Reihe eigener Benutzer
- und einen eigenen Benutzer <username>root</username> führen.
- Selbstverständlich sind die Rechte des Benutzers
- <username>root</username> in der Jail-Umgebung eingeschränkt.
- Aus der Sicht des Host-Systems ist der Benutzer
- <username>root</username> in der Jail-Umgebung kein allmächtiger
- Benutzer. Ausserdem ist der Benutzer <username>root</username>
- in der Jail-Umgebung nicht dazu berechtigt kritische Operationen
- am System ausserhalb der angebundenen &man.jail.8; Umgebung
- durchzuführen. Mehr Informationen über die Einsatzmöglichkeiten
- und Einschränkungen des <username>root</username> Benutzers werden
- weiter unten in <xref linkend="jails-tuning"> erläutert.</para>
+ <listitem>
+ <para>Eine <acronym>IP</acronym> Adresse — diese wird dem Jail
+ zugewiesen und kann während des laufenden Jail-Betriebs nicht
+ verändert werden. Die IP Adresse eines Jails ist üblicherweise
+ ein Adressalias auf eine existierende Netzwerkschnittstelle,
+ dies ist jedoch nicht zwingend erforderlich.</para>
+ </listitem>
+ <listitem>
+ <para>Ein Kommando — der Pfadname einer ausführbaren Datei
+ welche innerhalb des Jails ausgeführt werden soll. Dies verhält
+ sicht relativ zum root-Verzeichnis einer Jail-Umgebung und
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Wed 24 Sep 2008 - 11:09:23 CEST