Verständnisfrage zu Jails.

Dieses Thema im Forum "FreeBSD - Anwendungen und Ports" wurde erstellt von napolion, 9 Juni 2003.

  1. napolion

    napolion New Member

    Registriert seit:
    26 Januar 2003
    Beiträge:
    143
    Hallo.

    Habe so einiges zum Thema Jails gelesen
    und habe mir gedacht das man ein Jail
    sozusagen als "virtuellen PC" einsetzen könnte
    um damit eine zusätzliche Sicherheitsschicht zu schaffen.

    Das was ich also will ist lokal, vor dem Rechner auf dem der Jail läuft, zu sitzen
    und mich innerhalb des Jails frei bewegen zu können,
    dabei zu surfen und noch eine Konsole und den ganzen Rest
    funktionstüchtig zu verfügung zu haben.

    Jetzt musste ich aber folgendes lesen:
    Was heist "schlecht" lokal administrierbar. (schlecht oder garnicht ?)
    Heist das jetzt das ich mir meinen virtuellen PC
    innerhalb meiner FreeBSD-Umgebung abschmincken kann?

    edit:Ja hätte ich jetzt fast vergessen,vielen Dank schon mal für die Mühe!

    MfG nap
    __________________________________________________
    Das sicherste Mittel, arm zu bleiben, ist, ein ehrlicher Mensch zu sein.
  2. asg

    asg push it, don´t hype

    Registriert seit:
    11 Dezember 2002
    Beiträge:
    6.075
    Wohnort:
    Lat 49' 11` Nord - Long 9' 13` Ost
    Hallo.

    Genau hierfür ist eine Jail ja auch gedacht. Unsichere Freunde wie sendmail oder andere Serverdienste in dieser laufen zu lassen, wobei bei einem Einbruch in eine Jail, das Hostsyste, unberührt bleibt. Wenn es einmal dazu kommen sollte, so löscht man diese Jail einfach, und kopiert eine, die man in der Hinterhand hält, an die Stelle dieser. So kann man sicher sein, das Programme, Dienste, die evtl. verändert wurden, wieder das Original darstellen.
    Auch webhoster können so vielen usern rootzugriff auf ein "system" geben, wobei es sich auch dabei nur um eine Jail handelt.

    Wie meinst Du das? Du willst in der Jail X rennen lassen?
    Du kannst vor Deinem Hostsyste, sitzen, und Dich in der Jail so bewegen wie wenn Du auf einem anderen System wärst. Dazu loggst Du Dich in die Jail, wie in ein fremdes System ein, mittels ssh. Und schon hast Du die Jailumgebung vor Dir, ein "fremdes" System. Du kannst packages installieren, das DIng konfigurieren wie ein "normales" System.
    Es gibt aber einige Programme die unter einer Jail nicht laufen werden, ausser man verwendet evtl. wilde hacks, die dann aber wiederum zu lasten der Sicherheit gehen, und dann ist eine Jail keine Jail mehr.

    Du kannst, wenn Du innerhalb einer Jail bist mittels ssh, diese si administrieren wie jedes andere System, man muss nur auf ein paar Dinge achten.

    Was willst Du denn genau mit einer Jail machen? Was hast Du genau vor?

    Seit FreeBSD 5.x ist es auch möglich die Jail, bzw. Dienste in dieser vom hostsystem aus zu starten bzw. zu beeinflussen.
    Dazu gibt es das Programm "jexec". Siehe die manpage dazu.
    Oder, wenn es nur darum geht von hostsystem Prozesse in einer Jail zu killen, gibt es hierfür den Parameter "-j" bei killall.
    Siehe "man jail" für weitere Details.
  3. napolion

    napolion New Member

    Registriert seit:
    26 Januar 2003
    Beiträge:
    143
    "Läuft" den X,das wäre natürlich optimal.
    Gutes Stichwort,hilft mir!!
    Eigentlich möchte ich sowas wie eine voll
    funktionsfähige Sandbox in der ich nicht wirklich was
    kaputt machen kann :rolleyes:
    und wenn doch ist
    die Sache, durch das neu aufsetzen des Jails
    kein Malheur und vermutlich damit schneller bereinigt
    als durch das einspielen des ganzen Backups.

    Ich denke in der Windows und Linuxwelt
    heist die ganze Sache z.b. vmware.
    Ich selbst würde das aber gerne innerhalb
    der BSD Möglichkeiten machen
    ohne Linuxsoftware zu verwenden.
    Es reicht mir auch das das "simulierte" BS
    FreeBSD ist.

    Ich möchte vielleicht noch erwähnen das wenn
    sich das von mir gewünschte realisieren
    lässt,es sich für mich rechnet mich weiter
    und eingehender mit dem
    Thema zu befassen um selbstständig eine
    praktikable Lösung zu erreichen.
    Mir fehlt leider der Überblick und die Erfahrung
    um die Möglichkeiten genau abschätzen zu können.

    edit:..jetzt hab ich das ins falsche Forum gepostet.Bitte um Nachsicht.

    MfG nap
    __________________________________________________
    Das sicherste Mittel, arm zu bleiben, ist, ein ehrlicher Mensch zu sein.
    Zuletzt bearbeitet: 10 Juni 2003
  4. asg

    asg push it, don´t hype

    Registriert seit:
    11 Dezember 2002
    Beiträge:
    6.075
    Wohnort:
    Lat 49' 11` Nord - Long 9' 13` Ost
    Nicht das ich wüsste. Um es zu präzesieren, nein.

    Genau dafür ist eine jail gut.
    Du erstellst eine Jail. installierst das was Du brauchst. konfiguriest alles und kopierst dann die gesammt jail mittels "cpdup" (in den ports) an eine andere Stelle. Im Prinzip kopierst Du, aus der Sicht des Hostsystem, ja nur ein Verzeichnis.
    Zerballerst Du nun die Jail, oder bricht jemand ein und Du bist nicht sicher ob derjenige Trojaner hinerlassen hat, dann löschst Du die Originaljail und nimmst Deine kopierte Jail. Alles innerhalb weniger Sekunden erledigt. Man kann sagen, Du hast innerhalb weniger Sekunden wieder ein funktionierendes System.

    Nein, vmware ist was völlig anderes. Es simuliert ja einen ganzen Rechner. Eine Jail ist einfach nur diekonsquente Weiterentwicklung einer chroot Umgebung. In dieser kannst Du fast all das machen was in einer normalen Umgebung auch geht.

    siehe -- man jail
  5. napolion

    napolion New Member

    Registriert seit:
    26 Januar 2003
    Beiträge:
    143
    Möchte mich bei dir bedanken.
    Jetzt habe ich schon einen
    viel besseren Einblick in die Möglichkeiten
    von Jails.

    MfG nap
    __________________________________________________
    Das sicherste Mittel, arm zu bleiben, ist, ein ehrlicher Mensch zu sein.