Bringen Jails wirklich was?

realdarkman71

realdarkman71

Well-Known Member
Hallo Leute,

ich habe mich in den letzten Tagen mit dem Thema Jails beschäftigt. Ist ja eigentlich nicht schlecht, aber so ganz überzeugt mich das nicht! Wenn ich nun eine Jail "www" auf meinem FreeBSD-Server installiert habe, in der Jail liegt eine Website die mit Apache, PHP und MySQL läuft. Nun dringt ein Hacker ein der root-Rechte erlangt. Er kommt zwar jetzt nicht auf das Hostsystem, aber er kann doch meine Webseiten verändern, löschen oder sonst was machen! Wo liegt dann der Sinn in der Jail? Ohne wäre das auch passiert! Ob er nun den ganzen Server killt oder die Website ... das ist dann auch egal!? Neu aufsetzen muß ich so oder so! Die Jail erzeugt zwar keine zusätzliche Serverlast aber Festplattenspeicher! Da verzichte ich doch lieber auf Jails!

Oder verstehe ich da was falsch?

Thx!
Chris
 
Wenn du einen Webserver betreibst ist das sowieso freiwild, da hilft nur regelmäßig Backups machen und eine schnelle Methode haben die geschickt wieder einzuspielen. Falls dir einer die Kiste dann aufmacht schnell vom Netz nehmen platt machen und die Lücke schließen, falls bekannt.
Jails bringen dir in dem Sinne etwas, wenn du Db, Webserver vllt noch andere Dienste geschickt trennst. So kann der vermeindliche Hacker nur an einen Bestand direkt ran. Ich find das für Server die man für viele Dinge benutzt, File-, Web-,Db-Server sehr sinnvoll und auch sonst hast du den Vorteil, das man noch über das Hostsystem eingreifen kann. Das mit den Jails finde ich persönlich nicht schlecht.
 
Ok, danke! Also, auf dem Server soll (erstmal) folgendes laufen: Apache, PHP, MySQL (inkl. FTP zum Hochladen der Webseiten für die versch. User), eMail (POP3/IMAP, inkl. SpamFilter, AntiVirus) und Subversion. Dann sollte es sinnvoll sein, eine Jail für Webseiten, eine für eMail und eine für SVN!? Falls jemand jetzt in eine Jail eindringt, sind die anderen noch sicher! So meinst Du das!? Ohne Jails hätte der Hacker gleich Zugriff auf alles! ...verstehe! Danke für die Erklärung!
 
Aber wenn jemand dein Jail kanckt, ist es schnell wieder hergestellt. Jail stoppen, löschen, Backup rein, starten. Wenn sich Datenmenge in Grenzen hält eine Sache von 10 Minuten. Theoretisch kannst du das kontaminierte Jail auch laufen lassen, während das backup entpackt und dann einfach Umschalten. Ausfallzeit vielleicht 60 Sekunden. Ist hingegen der Host geknackt worden, ist das ganze komplexer. Dann musst die Kiste anders starten, z.B. von einer Lifecd. Die ersten Sektoren ausnullen, neu partitionieren, Backup einspielen, neu starten. Viel aufwändiger, dauert bestenfalls eine Stunde. Außerdem erlauben Jails Dienste voneinander zu trennen. Ein Aspekt davon wurde schon angesprochen, man sollte aber noch erwähnen, dass man die Maschine so in administrative Einheiten teilen kann. Ein Mailsystem ist z.B. einfach zu handhaben, als ein Mailsystem mit diversen anderen Dienstens dazwischen.
Und zuletzt die Updates: Jail klonen, Update im Klon machen, alte Jail stoppen, Klon starten. Hast du vielleicht 30Sek Downtime, deine Kunden eigentlich merken nichts. Während ein laufendes System ohne nennenswerte Downtime zu Updaten deutlich aufwändiger ist...
 
Mmmmhhh, eine Webseite ist alleine 5GB groß, das wird wohls nix mit 10 Min. Backup! :) Naja, ich weiß noch nicht ob ich Jails einsetze!
 
realdarkman71 schrieb:
Mmmmhhh, eine Webseite ist alleine 5GB groß, das wird wohls nix mit 10 Min. Backup! :) Naja, ich weiß noch nicht ob ich Jails einsetze!
Zum Vergrößern anklicken....

Hin fahren, von CD booten, neu aufsetzen (oder komplette Datensicherung zurück) und dann die Daten drauf (die werden ja bestimmt häufiger gesichert als das System...) ist bestimmt schneller als nur die Jail auszutauschen. Egal ob es 10mb oder 100gb an Daten sind.
 
Die Frage ist doch, ist es so schwierig aus Jails aus zu brechen? Dann sind zwar Jails komfortabel um Dienste zu resetten, bringen aber Sicherheitsmässig gesehen, keinen Mehrwert.
 
menace: Jails sind dazu da um sicher zu sein, nicht um komfortabel irgendwelche Dienste etc. zu resetten.
Ein schönes Dokument hatte damals Grunix erstellt: http://www.grunix.de/wp-content/uploads/2007/06/jails1.pdf
Es ist ja nicht unmöglich eine Jail zu knacken, letztes Jahr (oder wars dieses?) gabs ja mal ein schönens Exploit hierzu.
Aber die Teile heissen ja nicht umsonst Jail.
 
Du kannst mir jetzt auch sicher sagen, warum aus einer Jail denn prinzipiell kein Ausbruch möglich ist? Genauso wie bei chroots und auch sonstigen virtuellen Umgebungen? ..
 
Jails sind nciht per se ausbruchsicher!

Der letzte Fehler im Zusammenhang mit jails war im Januar: http://www.freebsd.org/security/

Dann sei natürlich noch dieser Link erwähnt: http://www.bsdforen.de/showthread.php?t=18302

Ich brauche Jail vorallem zum Ausprobieren von Dingen. Auf meinem Heimserver (Samba-PDC) läuft z.B. mldonkey in einem jail, so muss nur ein Rechner über Nacht laufen. Mein UPNP-Server steckt in einer weiteren jail, sowie je ein Mail und Webserver. Diese sind meine private Spielwiesen. Für mich ist der grosse Vorteil, dass ich diese unabhängig starten und stoppen kann.

Meine Frau bekommt vom Ganzen nichts mit. :) Früher gabs des öfteren unschöne Worte: "Warum läuft jetzt schon wieder nichts? Kannst du nicht mal die Finger davon lassen?"

mousaka
 
Aber wenn jemand dein Jail kanckt, ist es schnell wieder hergestellt. Jail stoppen, löschen, Backup rein, starten. Wenn sich Datenmenge in Grenzen hält eine Sache von 10 Minuten. Theoretisch kannst du das kontaminierte Jail auch laufen lassen, während das backup entpackt und dann einfach Umschalten. Ausfallzeit vielleicht 60 Sekunden.
Zum Vergrößern anklicken....
DAS IST DER PUNKT!
Egal wie groß die Jails ist, hinfahren is immer aufwendiger :)
Mal davon abgesehn das man von einem Jail so wunderbar einfach Backups machen kann. Auch eine Trennung der Dienste per Jail bringt den Vorteil das das Paketmanagement überschaulich bleibt und man sich seltener konfikte einhandelt. Es ist immer gut ein liste von 50 Pakete zu haben, anstelle von 400 , gelle.
wenn man mal wirklich mit Jails gearbeitet hat, kommen noch mehr so Gedanken dazu. Es lohnt sich.
 
Wie Kollege mousaka schrieb (und ich davor) sind die nicht 100% ausbruchsicher, aber was ist heute schon 100% sicher? Nur das Abstöpseln des Kabels...
 
Wie Kollege mousaka schrieb (und ich davor) sind die nicht 100% ausbruchsicher, aber was ist heute schon 100% sicher? Nur das Abstöpseln des Kabels...
Zum Vergrößern anklicken....
so siehts aus :D
Aber ein Jail ist immerhin eine weitere Hürde (derzeit gibt es bei korrekt installiertem Jail keine Lücken) und immer noch besser als direkt aufm Host rumzunuckeln :)
 
auch ein wesentlicher vorteil von jails ist, dass diese in unterschiedlichen securelevels laufen können, sofern man dienste hat die unterschiedliche securelevel benötigen. wenn man also einen dienst hat der einen niedrigeren securelevel benötigt kann man trotzdem die anderen jails und host in einem höheren betreiben, was auf jeden fall die sicherheit erhöht, selbst wenn der eindringling aus der jail ausbricht.
 
wenn ich aber eine jail einsetze, brauch ich dann nicht eine weitere IP-Adresse, oder?
So käme ich dann auf drei IP-Adressen (IP für den eigentlichen Rechner, IP für Remote Karte zum Zugriff auf die Konsole und IP für Jail). Dies ist bei einem Provider doch auch ein Kostenpunkt.

Viele Grüße

Rainer
 
Ja, jedes Jail braucht seine eigene IP. Das können aber natürlich auch private IPs sein. Auf dem Host kann man dann NAT aktivieren und die entsprechenden Ports auf die Jail-IP weiterleiten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben