pppoe in jail

lockdoc

lockdoc

Well-Known Member
Da mein FreeBSD Server direkt am Netz haengt und via pppoe und nat das Internet bereitstellt und auch einen ssh Zugang besitzt ist mir dabei ein wenig mulmig.

Nun hatte Ich mir ueberlegt, den pppoe und nat Kram in eine Jail zu packen (auch mit ssh). Somit (meiner Vermutung nach) wuerde, wenn man uebers Internet meinen Server kompromitiert nur die jail in Mitleidenschaft gezogen werden.

Wuerdet ihr dem zustimmen und das ganze macht Sinn?
Habe ich dadurch irgendwelche eventuellen Nachteile?
 
Erstens geht es ohne VIMAGE nicht, weil weder Netgraph noch IPFW oder PF normalerweise von einer Jail virtualisiert werden. Zweitens frage ich mich wovor du dir sorgen machst? Nichts von alle dem ist als unsicher bekannt. Um eine gewisse trusted Codebase kommst du nicht herum.
 
Bei kleinen Setups ist noch sslh zu empfehlen. HTTPS und SSH über einen Multiplexer an Port 443. Man kann es dann noch mit VPN auf die Spitze treiben. Das ist aber nur bei kleinen Sachen mit wenig Traffic zu empfehlen
 
Crest schrieb:
Zweitens frage ich mich wovor du dir sorgen machst?
Zum Vergrößern anklicken....

Naja ganz einfach. Wenn man die Jail kompromitiert, dann ist man nur in der Jail und hat nicht viel Spass. Wenn man aber im Hauptsystem ist, dann kommt man an alle Daten.

Sozusagen bau ich mir dann eine 2. Sicherheitsebene mit der Jail, und dazu ist sie ja auch gedacht, um die Dienste zu trennen und Risiken zu minimieren.


Wie aktiviere ich denn das VIMAGE, oder ist das standardmaessig dabei?
 
lockdoc schrieb:
Naja ganz einfach. Wenn man die Jail kompromitiert, dann ist man nur in der Jail und hat nicht viel Spass. Wenn man aber im Hauptsystem ist, dann kommt man an alle Daten.

Sozusagen bau ich mir dann eine 2. Sicherheitsebene mit der Jail, und dazu ist sie ja auch gedacht, um die Dienste zu trennen und Risiken zu minimieren.


Wie aktiviere ich denn das VIMAGE, oder ist das standardmaessig dabei?
Zum Vergrößern anklicken....

Du musst den Kernel neu übersetzen, dir das Binary bauen und das Jailscript patchen. VIMAGE ist immer noch hochexperimentell. Ich habe es sehr gut getestet und mich am Ende dann doch dagegen entschieden.

http://bsdbased.com/2009/12/06/freebsd-8-vimage-epair-howto

Bedenke das du kein PF nutzen solltest. Sonst fliegt dein Setup um die Ohren
 
Hallo lockdoc,

lockdoc schrieb:
Naja ganz einfach. Wenn man die Jail kompromitiert, dann ist man nur in der Jail und hat nicht viel Spass. Wenn man aber im Hauptsystem ist, dann kommt man an alle Daten.

Sozusagen bau ich mir dann eine 2. Sicherheitsebene mit der Jail, und dazu ist sie ja auch gedacht, um die Dienste zu trennen und Risiken zu minimieren.
Zum Vergrößern anklicken....

Sicherlich sind Jails dazu gedacht, aber man sollte auch die Kosten dem Nutzen gegenüberstellen. Denn:
Je komplexer Du dein System absicherst, umso größer sind potentielle Sicherheitslücken. Außerdem erhöht sich der Wartungsaufwand, was auch wieder potentielle Sicherheitslücken nach sich zieht.

Laß PPPoE auf dem Host laufen, konfiguriere ein Paketfilter Deines Gustos sauber und übersichtlich. Zusätzlich installiere Dir ein Monitoringsystem, mit dem alle relevanten Dateien und Dienste überwacht werden. Damit erreichst Du mehr und das System bleibt überschaubar.

Ein Restrisiko wirst Du immer haben.
Die Gruppe ANONYMOUS findet immer einen Weg:D
 
juedan schrieb:
Je komplexer Du dein System absicherst, umso größer sind potentielle Sicherheitslücken. Außerdem erhöht sich der Wartungsaufwand, was auch wieder potentielle Sicherheitslücken nach sich zieht.
Zum Vergrößern anklicken....
Eben darum dass mir der administrative Aufwand abgenommen wird und die Komplexitaet jeder Machine schrumpft, virtualisiere ich die einzelnen Dienste.

So habe ich meine einzelnen jails die ich mit zfs snapshots backupe und der host selbst ist sauber und clean. Wenn ich das system neumache, dann zieh ich mir einfach die jails rein und alles laeuft wie gewohnt.

Jails update laeuft ja dann auch ohne probleme, da ich beispielsweise eine neue Jail baue und diese dann mit der alten austauschen kann, wenn sie voll funktionstuechtig ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben