Verständnisfrage zu Jails.

[napolion]

Hallo.

Habe so einiges zum Thema Jails gelesen
und habe mir gedacht das man ein Jail
sozusagen als "virtuellen PC" einsetzen könnte
um damit eine zusätzliche Sicherheitsschicht zu schaffen.

Das was ich also will ist lokal, vor dem Rechner auf dem der Jail läuft, zu sitzen
und mich innerhalb des Jails frei bewegen zu können,
dabei zu surfen und noch eine Konsole und den ganzen Rest
funktionstüchtig zu verfügung zu haben.

Jetzt musste ich aber folgendes lesen:

Zitat:

Jail-Administration über das Netz


Zur Zeit lässt sich ein Jail leider nur schlecht aus dem Host-Environment heraus administrieren. Da er über keine Konsole verfügt, lässt er sich nicht direkt sondern nur über das Netz verwalten. Insbesondere ist es nicht möglich, aus der Hostumgebung heraus Prozesse innerhalb eines Jail zu starten.

Was heist "schlecht" lokal administrierbar. (schlecht oder garnicht ?)
Heist das jetzt das ich mir meinen virtuellen PC
innerhalb meiner FreeBSD-Umgebung abschmincken kann?

edit:Ja hätte ich jetzt fast vergessen,vielen Dank schon mal für die Mühe!

MfG nap
__________________________________________________
Das sicherste Mittel, arm zu bleiben, ist, ein ehrlicher Mensch zu sein.

[asg]

Hallo.

Zitat:

Habe so einiges zum Thema Jails gelesen
und habe mir gedacht das man ein Jail
sozusagen als "virtuellen PC" einsetzen könnte
um damit eine zusätzliche Sicherheitsschicht zu schaffen.

Genau hierfür ist eine Jail ja auch gedacht. Unsichere Freunde wie sendmail oder andere Serverdienste in dieser laufen zu lassen, wobei bei einem Einbruch in eine Jail, das Hostsyste, unberührt bleibt. Wenn es einmal dazu kommen sollte, so löscht man diese Jail einfach, und kopiert eine, die man in der Hinterhand hält, an die Stelle dieser. So kann man sicher sein, das Programme, Dienste, die evtl. verändert wurden, wieder das Original darstellen.
Auch webhoster können so vielen usern rootzugriff auf ein "system" geben, wobei es sich auch dabei nur um eine Jail handelt.

Zitat:

Das was ich also will ist lokal, vor dem Rechner auf dem der Jail läuft, zu sitzen
und mich innerhalb des Jails frei bewegen zu können,
dabei zu surfen und noch eine Konsole und den ganzen Rest
funktionstüchtig zu verfügung zu haben.

Wie meinst Du das? Du willst in der Jail X rennen lassen?
Du kannst vor Deinem Hostsyste, sitzen, und Dich in der Jail so bewegen wie wenn Du auf einem anderen System wärst. Dazu loggst Du Dich in die Jail, wie in ein fremdes System ein, mittels ssh. Und schon hast Du die Jailumgebung vor Dir, ein "fremdes" System. Du kannst packages installieren, das DIng konfigurieren wie ein "normales" System.
Es gibt aber einige Programme die unter einer Jail nicht laufen werden, ausser man verwendet evtl. wilde hacks, die dann aber wiederum zu lasten der Sicherheit gehen, und dann ist eine Jail keine Jail mehr.

Zitat:

Was heist "schlecht" lokal administrierbar. (schlecht oder garnicht ?)
Heist das jetzt das ich mir meinen virtuellen PC
innerhalb meiner FreeBSD-Umgebung abschmincken kann?

Du kannst, wenn Du innerhalb einer Jail bist mittels ssh, diese si administrieren wie jedes andere System, man muss nur auf ein paar Dinge achten.

Was willst Du denn genau mit einer Jail machen? Was hast Du genau vor?

Seit FreeBSD 5.x ist es auch möglich die Jail, bzw. Dienste in dieser vom hostsystem aus zu starten bzw. zu beeinflussen.
Dazu gibt es das Programm "jexec". Siehe die manpage dazu.
Oder, wenn es nur darum geht von hostsystem Prozesse in einer Jail zu killen, gibt es hierfür den Parameter "-j" bei killall.
Siehe "man jail" für weitere Details.

[napolion]

Zitat:

Wie meinst Du das? Du willst in der Jail X rennen lassen?

"Läuft" den X,das wäre natürlich optimal.

Zitat:

ssh

Gutes Stichwort,hilft mir!!

Zitat:

Was willst Du denn genau mit einer Jail machen? Was hast Du genau vor?

Eigentlich möchte ich sowas wie eine voll
funktionsfähige Sandbox in der ich nicht wirklich was
kaputt machen kann
und wenn doch ist
die Sache, durch das neu aufsetzen des Jails
kein Malheur und vermutlich damit schneller bereinigt
als durch das einspielen des ganzen Backups.

Ich denke in der Windows und Linuxwelt
heist die ganze Sache z.b. vmware.
Ich selbst würde das aber gerne innerhalb
der BSD Möglichkeiten machen
ohne Linuxsoftware zu verwenden.
Es reicht mir auch das das "simulierte" BS
FreeBSD ist.

Ich möchte vielleicht noch erwähnen das wenn
sich das von mir gewünschte realisieren
lässt,es sich für mich rechnet mich weiter
und eingehender mit dem
Thema zu befassen um selbstständig eine
praktikable Lösung zu erreichen.
Mir fehlt leider der Überblick und die Erfahrung
um die Möglichkeiten genau abschätzen zu können.

edit:..jetzt hab ich das ins falsche Forum gepostet.Bitte um Nachsicht.

MfG nap
__________________________________________________
Das sicherste Mittel, arm zu bleiben, ist, ein ehrlicher Mensch zu sein.

[asg]

Zitat:

"Läuft" den X,das wäre natürlich optimal.

Nicht das ich wüsste. Um es zu präzesieren, nein.

Zitat:

Eigentlich möchte ich sowas wie eine voll
funktionsfähige Sandbox in der ich nicht wirklich was
kaputt machen kann
und wenn doch ist
die Sache, durch das neu aufsetzen des Jails
kein Malheur und vermutlich damit schneller bereinigt
als durch das einspielen des ganzen Backups.

Genau dafür ist eine jail gut.
Du erstellst eine Jail. installierst das was Du brauchst. konfiguriest alles und kopierst dann die gesammt jail mittels "cpdup" (in den ports) an eine andere Stelle. Im Prinzip kopierst Du, aus der Sicht des Hostsystem, ja nur ein Verzeichnis.
Zerballerst Du nun die Jail, oder bricht jemand ein und Du bist nicht sicher ob derjenige Trojaner hinerlassen hat, dann löschst Du die Originaljail und nimmst Deine kopierte Jail. Alles innerhalb weniger Sekunden erledigt. Man kann sagen, Du hast innerhalb weniger Sekunden wieder ein funktionierendes System.

Zitat:

Ich denke in der Windows und Linuxwelt
heist die ganze Sache z.b. vmware.
Ich selbst würde das aber gerne innerhalb
der BSD Möglichkeiten machen
ohne Linuxsoftware zu verwenden.
Es reicht mir auch das das "simulierte" BS
FreeBSD ist.

Nein, vmware ist was völlig anderes. Es simuliert ja einen ganzen Rechner. Eine Jail ist einfach nur diekonsquente Weiterentwicklung einer chroot Umgebung. In dieser kannst Du fast all das machen was in einer normalen Umgebung auch geht.

siehe -- man jail

[napolion]

Möchte mich bei dir bedanken.
Jetzt habe ich schon einen
viel besseren Einblick in die Möglichkeiten
von Jails.

MfG nap
__________________________________________________
Das sicherste Mittel, arm zu bleiben, ist, ein ehrlicher Mensch zu sein.