cvs commit: de-docproj/books/handbook/jails chapter.sgml

From: Johann Kois <jkois(at)doc.bsdgroup.de>
Date: Wed, 24 Sep 2008 09:09:06 GMT



jkois       2008-09-24 09:09:06 UTC



  FreeBSD German Documentation Repository



  Modified files:


    books/handbook/jails chapter.sgml 


  Log:


  Loeschen/Korrektur aller ueberfluessigen/fehlerhaften Einrueckungen.


  Loeschen aller  doppelt eingefuegter Abschnitte.


  


  Revision  Changes    Path


  1.10      +411 -717  de-docproj/books/handbook/jails/chapter.sgml


  


  Index: chapter.sgml


  ===================================================================


  RCS file: /home/cvs/de-docproj/books/handbook/jails/chapter.sgml,v


  retrieving revision 1.9


  retrieving revision 1.10


  diff -u -I$FreeBSDde.*$ -r1.9 -r1.10


  --- chapter.sgml	11 Sep 2008 14:26:10 -0000	1.9


  +++ chapter.sgml	24 Sep 2008 09:09:05 -0000	1.10


  @@ -150,133 +150,130 @@


     <sect1 id="jails-intro">


       <title>Einf&uuml;hrung</title>


   


  -	 <para>Aufgrund der Tatsache, dass die Systemadministration eine


  -		schwierige und verbl&uuml;ffende Aufgabe ist, wurden viele m&auml;chtige


  -		Werkzeuge entwickelt, welche das Leben der Administratoren


  -		erleichtern.  Diese Werkzeuge bieten meistens Verbesserungen aller


  -		Art wie Systeme installiert, konfiguriert und gewartet werden.


  -		Teil der Aufgaben, welche auf einen Administrator zukommen ist


  -		die Sicherheit des Systems so zu konfigurieren, so dass es


  -		den regul&auml;ren Betrieb fortf&uuml;hren kann, ohne dabei


  -		Sicherheitsverst&ouml;&szlig;e zu erlauben.


  -	 </para>


  -


  -	 <para>Eines der Werkzeuge, welche dazu benutzt werden k&ouml;nnen, die


  -		Sicherheit eines &os; Systems zu verbessern sind Jails.  Jails


  -		wurden in &os;&nbsp;4.X von &a.phk; eingef&uuml;hrt, wurden jedoch in


  -		&os;&nbsp;5.X stark aufgebessert, um sie so zu einem m&auml;chtigen und


  -		flexiblen Subsystem zu machen.  Jails werden immer noch weiter


  -		entwickelt: Bessere Zweckm&auml;&szlig;igkeit, Leistung, Ausfallsicherheit, und


  -		Sicherheit.</para>


  -


  +    <para>Aufgrund der Tatsache, dass die Systemadministration eine


  +      schwierige und verbl&uuml;ffende Aufgabe ist, wurden viele m&auml;chtige


  +      Werkzeuge entwickelt, welche das Leben der Administratoren


  +      erleichtern.  Diese Werkzeuge bieten meistens Verbesserungen aller


  +      Art wie Systeme installiert, konfiguriert und gewartet werden.


  +      Teil der Aufgaben, welche auf einen Administrator zukommen ist


  +      die Sicherheit des Systems so zu konfigurieren, so dass es


  +      den regul&auml;ren Betrieb fortf&uuml;hren kann, ohne dabei


  +      Sicherheitsverst&ouml;&szlig;e zu erlauben.


  +    </para>


  +


  +    <para>Eines der Werkzeuge, welche dazu benutzt werden k&ouml;nnen, die


  +      Sicherheit eines &os; Systems zu verbessern sind Jails.  Jails


  +      wurden in &os;&nbsp;4.X von &a.phk; eingef&uuml;hrt, wurden jedoch in


  +      &os;&nbsp;5.X stark aufgebessert, um sie so zu einem m&auml;chtigen und


  +      flexiblen Subsystem zu machen.  Jails werden immer noch weiter


  +      entwickelt: Bessere Zweckm&auml;&szlig;igkeit, Leistung, Ausfallsicherheit, und


  +      Sicherheit.</para>


   


       <sect2 id="jails-what">


  -      <title>Was ist ein Jail</title>


  +      <title>Was ist ein Jail?</title>


   


  -		<para>BSD-&auml;hnliche Betriebssysteme besitzen seit den Zeiten von


  -		  4.2BSD &man.chroot.2;.  Das Werkzeug &man.chroot.2; kann dazu


  -		  benutzt werden das root-Verzeichnis einer Reihe von Prozessen


  -		  zu &auml;ndern, um so eine seperate, sichere Umgebung, abgeschnitten


  -		  vom Rest des Systems zu schaffen.


  -		  Prozesse, welche In einer chroot-Umgebung


  -		  erstellt wurden, k&ouml;nnen nicht auf Dateien oder Resourcen zugreifen,


  -		  welche sich ausserhalb der Umgebung befinden.  Aus diesem Grund


  -		  sollte ein kompromittierter Dienst dem Angreifer nicht erlauben,


  -		  gleich das komplette System zu kompromittieren.  Das &man.chroot.8;


  -		  Werkzeug ist f&uuml;r einfache Aufgaben geeignet, welche keine


  -		  flexiblen, komplexen oder fortgeschrittenen Eigenschaften


  -		  ben&ouml;tigen.  Seit beginn des chroot-Konzepts war aber bereits klar,


  -		  dass trotz vieler gefundenen, und in modernen Versionen des &os;


  -		  Kernels beseitigten M&ouml;glicheiten aus einer chroot-Umgebung


  -		  auszubrechen, das &man.chroot.2; nicht die ideale L&ouml;sung war,


  -		  einen Dienst sicher zu machen.  Ein neues Subsystem musste


  -		  implementiert werden.


  -		</para>


  +      <para>BSD-&auml;hnliche Betriebssysteme besitzen seit den Zeiten von


  +	4.2BSD &man.chroot.2;.  Das Werkzeug &man.chroot.2; kann dazu


  +	benutzt werden das root-Verzeichnis einer Reihe von Prozessen


  +	zu &auml;ndern, um so eine seperate, sichere Umgebung, abgeschnitten


  +	vom Rest des Systems zu schaffen.


  +	Prozesse, welche In einer chroot-Umgebung


  +	erstellt wurden, k&ouml;nnen nicht auf Dateien oder Resourcen zugreifen,


  +	welche sich ausserhalb der Umgebung befinden.  Aus diesem Grund


  +	sollte ein kompromittierter Dienst dem Angreifer nicht erlauben,


  +	gleich das komplette System zu kompromittieren.  Das &man.chroot.8;


  +	Werkzeug ist f&uuml;r einfache Aufgaben geeignet, welche keine


  +	flexiblen, komplexen oder fortgeschrittenen Eigenschaften


  +	ben&ouml;tigen.  Seit beginn des chroot-Konzepts war aber bereits klar,


  +	dass trotz vieler gefundenen, und in modernen Versionen des &os;


  +	Kernels beseitigten M&ouml;glicheiten aus einer chroot-Umgebung


  +	auszubrechen, das &man.chroot.2; nicht die ideale L&ouml;sung war,


  +	einen Dienst sicher zu machen.  Ein neues Subsystem musste


  +	implementiert werden.


  +      </para>


   


         <para>Dies ist einer der Hauptgr&uuml;nde warum


  -		  <emphasis>Jails</emphasis> entwickelt wurden.</para>


  +	<emphasis>Jails</emphasis> entwickelt wurden.</para>


   


  -		<para>Jails setzt auf dem traditionellen &man.chroot.2; Konzept


  -		  auf und verbessert es auf verschiedensten Wegen.  In einer


  -		  traditionellen &man.chroot.2; Umgebung sind Prozesse auf den


  -		  Abschnitt des Dateisystems beschr&auml;nkt, auf den sie  zugreifen


  -		  k&ouml;nnen.  Der Rest der Systemresourcen (wie zum Beispiel eine Reihe


  -		  von Systembenutzer, die laufenden Prozesse oder das Netzwerk


  -		  Subsystem) teilen sich die chroot-Prozesse mit dem Host-System.


  -		  Jails dehnt dieses Model nicht nur auf Virtualisierung des Zugriffs


  -		  auf das Dateisystem aus, sondern auch auf


  -		  eine Reihe von Benutzern, das Netzwerk Subsystem des &os; Kernels


  -		  und ein paar andere Dinge.  Eine ausf&uuml;hrlichere &Uuml;bersicht der


  -		  ausgefeilten Bedienelemente um eine Jail-Umgebung zu konfigurieren


  -		  finden Sie in <xref linkend="jails-tuning">.</para>


  +      <para>Jails setzt auf dem traditionellen &man.chroot.2; Konzept


  +	auf und verbessert es auf verschiedensten Wegen.  In einer


  +	traditionellen &man.chroot.2; Umgebung sind Prozesse auf den


  +	Abschnitt des Dateisystems beschr&auml;nkt, auf den sie  zugreifen


  +	k&ouml;nnen.  Der Rest der Systemresourcen (wie zum Beispiel eine Reihe


  +	von Systembenutzer, die laufenden Prozesse oder das Netzwerk


  +	Subsystem) teilen sich die chroot-Prozesse mit dem Host-System.


  +	Jails dehnt dieses Model nicht nur auf Virtualisierung des Zugriffs


  +	auf das Dateisystem aus, sondern auch auf


  +	eine Reihe von Benutzern, das Netzwerk Subsystem des &os; Kernels


  +	und ein paar andere Dinge.  Eine ausf&uuml;hrlichere &Uuml;bersicht der


  +	ausgefeilten Bedienelemente um eine Jail-Umgebung zu konfigurieren


  +	finden Sie in <xref linkend="jails-tuning">.</para>


   


         <para>Ein Jail zeichnet sich durch folgende Merkmale aus:</para>


   


         <itemizedlist>


  -		  <listitem>


  -			 <para>Ein Unterverzeichnisbaum &mdash; der Startpunkt von wo aus


  -				das Jail einsteigt.  Einmal innerhalb des Jails ist ein


  -				Prozess nicht mehr dazu berechtigt aus diesem


  -				Unterverzeichnisbaum auszubrechen.  Traditionelle


  -				Sicherheitsangelegenheiten welche das originale &man.chroot.2;


  -				plagten betreffen &os; Jails nicht mehr.</para>


  -		  </listitem>


  -


  -		  <listitem>


  -			 <para>Ein Hostname &mdash; der Hostname welcher innerhalb des Jails


  -				verwendet wird.  Jails werden haupts&auml;chlich daf&uuml;r verwendet,


  -				Netzwekdienste anzubieten, somit kann es f&uuml;r den Systemadministrator


  -				von gro&szlig;em Nutzen sein f&uuml;r jedes Jail einen beschreibenden Hostnamen


  -				zu haben.</para>


  -		  </listitem>


  -


  -		  <listitem>


  -			 <para>Eine <acronym>IP</acronym> Adresse &mdash; diese wird dem Jail


  -				zugewiesen und kann w&auml;hrend des laufenden Jail-Betriebs nicht


  -				ver&auml;ndert werden.  Die IP Adresse eines Jails ist &uuml;blicherweise


  -				ein Adressalias auf eine existierende Netzwerkschnittstelle,


  -				dies ist jedoch nicht zwingend erforderlich.</para>


  -		  </listitem>


  -


  -		  <listitem>


  -			 <para>Ein Kommando &mdash; der Pfadname einer ausf&uuml;hrbaren Datei


  -				welche innerhalb des Jails ausgef&uuml;hrt werden soll.  Dies verh&auml;lt


  -				sicht relativ zum root-Verzeichnis einer Jail-Umgebung und


  -				kann gem&auml;&szlig; der Art der Jail-Umgebung stark variieren.</para>


  -		  </listitem>


  -      </itemizedlist>


  +	<listitem>


  +	  <para>Ein Unterverzeichnisbaum &mdash; der Startpunkt von wo aus


  +	    das Jail einsteigt.  Einmal innerhalb des Jails ist ein


  +	    Prozess nicht mehr dazu berechtigt aus diesem


  +	    Unterverzeichnisbaum auszubrechen.  Traditionelle


  +	    Sicherheitsangelegenheiten welche das originale &man.chroot.2;


  +	    plagten betreffen &os; Jails nicht mehr.</para>


  +	</listitem>


  +


  +	<listitem>


  +	  <para>Ein Hostname &mdash; der Hostname welcher innerhalb des Jails


  +	    verwendet wird.  Jails werden haupts&auml;chlich daf&uuml;r verwendet,


  +	    Netzwekdienste anzubieten, somit kann es f&uuml;r den Systemadministrator


  +	    von gro&szlig;em Nutzen sein f&uuml;r jedes Jail einen beschreibenden Hostnamen


  +	    zu haben.</para>


  +	</listitem>


   


  -		<para>Unabh&auml;ngig davon k&ouml;nnen Jails eine Reihe eigener Benutzer


  -		  und einen eigenen Benutzer <username>root</username> f&uuml;hren.


  -		  Selbstverst&auml;ndlich sind die Rechte des Benutzers


  -		  <username>root</username> in der Jail-Umgebung eingeschr&auml;nkt.


  -		  Aus der Sicht des Host-Systems ist der Benutzer


  -		  <username>root</username> in der Jail-Umgebung kein allm&auml;chtiger


  -		  Benutzer.  Ausserdem ist der Benutzer <username>root</username>


  -		  in der Jail-Umgebung nicht dazu berechtigt kritische Operationen


  -		  am System ausserhalb der angebundenen &man.jail.8; Umgebung


  -		  durchzuf&uuml;hren.  Mehr Informationen &uuml;ber die Einsatzm&ouml;glichkeiten


  -		  und Einschr&auml;nkungen des <username>root</username> Benutzers werden


  -		  weiter unten in <xref linkend="jails-tuning"> erl&auml;utert.</para>


  +	<listitem>


  +	  <para>Eine <acronym>IP</acronym> Adresse &mdash; diese wird dem Jail


  +	    zugewiesen und kann w&auml;hrend des laufenden Jail-Betriebs nicht


  +	    ver&auml;ndert werden.  Die IP Adresse eines Jails ist &uuml;blicherweise


  +	    ein Adressalias auf eine existierende Netzwerkschnittstelle,


  +	    dies ist jedoch nicht zwingend erforderlich.</para>


  +	</listitem>


   


  +	<listitem>


  +	  <para>Ein Kommando &mdash; der Pfadname einer ausf&uuml;hrbaren Datei


  +	    welche innerhalb des Jails ausgef&uuml;hrt werden soll.  Dies verh&auml;lt


  +	    sicht relativ zum root-Verzeichnis einer Jail-Umgebung und



----------------------------------------------


Diff block truncated.  (Max lines = 200)


----------------------------------------------



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-cvs-doc" in the body of the message


Received on Wed 24 Sep 2008 - 11:09:23 CEST













search this site