© 1995-2008 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
jkois 2008-10-09 22:37:52 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/jails chapter.sgml
Log:
Deutsch, Markup, Grammatik, Tippfehler, Sinn.
Korrekturen, nächster Teil.
Revision Changes Path
1.12 +98 -96 de-docproj/books/handbook/jails/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/jails/chapter.sgml,v
retrieving revision 1.11
retrieving revision 1.12
diff -u -I$FreeBSDde.*$ -r1.11 -r1.12
--- chapter.sgml 24 Sep 2008 09:10:58 -0000 1.11
+++ chapter.sgml 9 Oct 2008 22:37:52 -0000 1.12
@@ -24,7 +24,10 @@
<author>
<firstname>Dirk</firstname>
<surname>Arlt</surname>
- <contrib>und </contrib>
+ </author>
+ <author>
+ <firstname>Johann</firstname>
+ <surname>Kois</surname>
</author>
</authorgroup>
</chapterinfo>
@@ -150,101 +153,100 @@
<sect1 id="jails-intro">
<title>Einführung</title>
- <para>Aufgrund der Tatsache, dass die Systemadministration eine
- schwierige und verblüffende Aufgabe ist, wurden viele mächtige
- Werkzeuge entwickelt, welche das Leben der Administratoren
- erleichtern. Diese Werkzeuge bieten meistens Verbesserungen aller
- Art wie Systeme installiert, konfiguriert und gewartet werden.
- Teil der Aufgaben, welche auf einen Administrator zukommen ist
- die Sicherheit des Systems so zu konfigurieren, so dass es
- den regulären Betrieb fortführen kann, ohne dabei
- Sicherheitsverstöße zu erlauben.
- </para>
-
- <para>Eines der Werkzeuge, welche dazu benutzt werden können, die
- Sicherheit eines &os; Systems zu verbessern sind Jails. Jails
- wurden in &os; 4.X von &a.phk; eingeführt, wurden jedoch in
- &os; 5.X stark aufgebessert, um sie so zu einem mächtigen und
- flexiblen Subsystem zu machen. Jails werden immer noch weiter
- entwickelt: Bessere Zweckmäßigkeit, Leistung, Ausfallsicherheit, und
- Sicherheit.</para>
+ <para>Da die Systemadministration oft eine schwierige Aufgabe ist,
+ wurden viele mächtige Werkzeuge entwickelt, die
+ Administratoren bei Installation, Konfiguration und Wartung ihrer
+ Systeme unterstützen sollen. Eine wichtige Aufgabe eines
+ Administrators ist es, Systeme so abzusichern, dass es im
+ regulären Betrieb zu keinen Sicherheitsverstößen
+ kommt.</para>
+
+ <para>Eines der Werkzeuge, mit dem die Sicherheit eines &os;-Systems
+ verbessert werden kann, sind Jails. Jails wurden schon in
+ &os; 4.X von &a.phk; eingeführt, wurden jedoch mit
+ &os; 5.X stark verbessert, sodass sie inzwischen zu einem
+ mächtigen und flexiblen Subsystem herangereift sind. Trotzdem
+ geht die Entwicklung nach wie vor weiter. Wichtige Ziele sind
+ derzeit: Bessere Zweckmäßigkeit, Leistung,
+ Ausfallsicherheit und allgemeine Sicherheit.</para>
<sect2 id="jails-what">
<title>Was ist ein Jail?</title>
- <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten von
- 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu
- benutzt werden das root-Verzeichnis einer Reihe von Prozessen
- zu ändern, um so eine seperate, sichere Umgebung, abgeschnitten
- vom Rest des Systems zu schaffen.
- Prozesse, welche In einer chroot-Umgebung
- erstellt wurden, können nicht auf Dateien oder Resourcen zugreifen,
- welche sich ausserhalb der Umgebung befinden. Aus diesem Grund
- sollte ein kompromittierter Dienst dem Angreifer nicht erlauben,
- gleich das komplette System zu kompromittieren. Das &man.chroot.8;
- Werkzeug ist für einfache Aufgaben geeignet, welche keine
- flexiblen, komplexen oder fortgeschrittenen Eigenschaften
- benötigen. Seit beginn des chroot-Konzepts war aber bereits klar,
- dass trotz vieler gefundenen, und in modernen Versionen des &os;
- Kernels beseitigten Möglicheiten aus einer chroot-Umgebung
- auszubrechen, das &man.chroot.2; nicht die ideale Lösung war,
- einen Dienst sicher zu machen. Ein neues Subsystem musste
- implementiert werden.
- </para>
+ <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten
+ von 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu
+ benutzt werden, das root-Verzeichnis einer Reihe von Prozessen
+ zu ändern, um so eine seperate sichere Umgebung (abgeschnitten
+ vom Rest des Systems) zu schaffen. Prozesse, die in einer
+ chroot-Umgebung erstellt wurden, können nicht auf Dateien
+ oder Ressourcen zugreifen, die sich ausserhalb der Umgebung
+ befinden. Dadurch ist es einem kompromittierten Dienst nicht
+ möglich, das gesamte System zu kompromittieren.
+ &man.chroot.8; eignet sich für einfache Aufgaben, die keine
+ flexiblen, komplexen oder fortgeschrittenen Funktionen
+ benötigen. Obwohl seit der Entwicklung des chroot-Konzepts
+ zahlreiche Sicherheitslöcher geschlossen wurden, die es
+ einem Prozess erlauben konnten, aus einen Jail auszubrechen,
+ war seit langer Zeit klar, dass &man.chroot.2; nicht die ideale
+ Lösung ist, einen Dienst sicher zu machen.</para>
- <para>Dies ist einer der Hauptgründe warum
+ <para>Dies ist einer der Hauptgründe, warum
<emphasis>Jails</emphasis> entwickelt wurden.</para>
- <para>Jails setzt auf dem traditionellen &man.chroot.2; Konzept
- auf und verbessert es auf verschiedensten Wegen. In einer
- traditionellen &man.chroot.2; Umgebung sind Prozesse auf den
- Abschnitt des Dateisystems beschränkt, auf den sie zugreifen
- können. Der Rest der Systemresourcen (wie zum Beispiel eine Reihe
- von Systembenutzer, die laufenden Prozesse oder das Netzwerk
- Subsystem) teilen sich die chroot-Prozesse mit dem Host-System.
- Jails dehnt dieses Model nicht nur auf Virtualisierung des Zugriffs
- auf das Dateisystem aus, sondern auch auf
- eine Reihe von Benutzern, das Netzwerk Subsystem des &os; Kernels
- und ein paar andere Dinge. Eine ausführlichere Übersicht der
- ausgefeilten Bedienelemente um eine Jail-Umgebung zu konfigurieren
- finden Sie in <xref linkend="jails-tuning">.</para>
+ <para>Jails setzt auf dem traditionellen &man.chroot.2;-Konzept
+ auf und verbessern es auf unterschiedlichste Art und Weise. In
+ einer traditionellen &man.chroot.2;-Umgebung sind Prozesse auf
+ den Bereich des Dateisystems beschränkt, auf den sie
+ zugreifen können. Der Rest der Systemressourcen (wie zum
+ Beispiel eine Reihe von Systembenutzern, die laufenden Prozesse
+ oder das Netzwerk-Subsystem) teilen sich die chroot-Prozesse mit
+ dem Host-System. Jails dehnen dieses Modell nicht nur auf die
+ Virtualisierung des Zugriffs auf das Dateisystem, sondern auch
+ auf eine Reihe von Benutzern, das Netzwerk-Subsystem des
+ &os;-Kernels und weitere Bereiche aus. Eine ausführlichere
+ Übersicht der ausgefeilten Bedienelemente zur Konfiguration
+ einer Jail-Umgebung finden Sie in
+ <xref linkend="jails-tuning">.</para>
<para>Ein Jail zeichnet sich durch folgende Merkmale aus:</para>
<itemizedlist>
<listitem>
- <para>Ein Unterverzeichnisbaum — der Startpunkt von wo aus
- das Jail einsteigt. Einmal innerhalb des Jails ist ein
- Prozess nicht mehr dazu berechtigt aus diesem
- Unterverzeichnisbaum auszubrechen. Traditionelle
- Sicherheitsangelegenheiten welche das originale &man.chroot.2;
- plagten betreffen &os; Jails nicht mehr.</para>
+ <para>Einen Unterverzeichnisbaum, der das Jail enthält.
+ Einem Prozess, der innerhalb des Jails läft, ist es
+ nicht mehr möglich, aus diesem auszubrechen. Von
+ der traditionellen &man.chroot.2;-Umgebung bekannte
+ Sicherheitsprobleme existieren bei &os;-Jails nicht
+ bekannten.</para>
</listitem>
<listitem>
- <para>Ein Hostname — der Hostname welcher innerhalb des Jails
- verwendet wird. Jails werden hauptsächlich dafür verwendet,
- Netzwekdienste anzubieten, somit kann es für den Systemadministrator
- von großem Nutzen sein für jedes Jail einen beschreibenden Hostnamen
- zu haben.</para>
+ <para>Einen Hostname, der innerhalb des Jails verwendet wird.
+ Jails werden vor allem dazu verwendet, Netzwerkdienste
+ anzubieten, daher ist es für Systemadministratoren
+ von großem Nutzen, dass jedes Jail einen beschreibenden
+ Hostname haben kann.</para>
</listitem>
<listitem>
- <para>Eine <acronym>IP</acronym> Adresse — diese wird dem Jail
- zugewiesen und kann während des laufenden Jail-Betriebs nicht
- verändert werden. Die IP Adresse eines Jails ist üblicherweise
- ein Adressalias auf eine existierende Netzwerkschnittstelle,
- dies ist jedoch nicht zwingend erforderlich.</para>
+ <para>Eine <acronym>IP</acronym> Adresse, die dem Jail
+ zugewiesen wird und nicht verändert werden kann,
+ solange das Jail läft. Die IP-Adresse eines Jails
+ ist üblicherweise ein Adress-Alias auf eine
+ existierende Netzwerkschnittstelle. Dies ist jedoch
+ nicht zwingend erforderlich.</para>
</listitem>
<listitem>
- <para>Ein Kommando — der Pfadname einer ausführbaren Datei
- welche innerhalb des Jails ausgeführt werden soll. Dies verhält
- sicht relativ zum root-Verzeichnis einer Jail-Umgebung und
- kann gemäß der Art der Jail-Umgebung stark variieren.</para>
+ <para>Einen Befehl (genauer den Pfad einer ausführbaren
+ Datei) der innerhalb des Jails ausgefürht werden soll.
+ Dieser Pfad wird relativ zum root-Verzeichnis einer
+ Jail-Umgebung angegeben und kann sehr unterschiedlich
+ aussehen (je nachdem, wie die Jail-Umgebung konfiguriert
+ wurde).</para>
</listitem>
</itemizedlist>
-
+<!-- fertig bis hier - 2008-10-10 -->
<para>Unabhängig davon können Jails eine Reihe eigener Benutzer
und einen eigenen Benutzer <username>root</username> führen.
Selbstverständlich sind die Rechte des Benutzers
@@ -278,8 +280,7 @@
&prompt.root; <userinput>cd /usr/src</userinput>
&prompt.root; <userinput>make world DESTDIR=$D</userinput> <co id="jailworld">
&prompt.root; <userinput>cd etc/</userinput> <footnote><para>Dieser
-Schritt ist auf &os; 6.0 und späteren Versionen nicht mehr
-notwendig.</para></footnote>
+Schritt ist seit &os; 6.0 nicht mehr notwendig.</para></footnote>
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Fri 10 Oct 2008 - 00:38:26 CEST