auskunftsfreudige jails

dagnu

Well-Known Member
Hallo

ich betreibe auf einem Server mehrere Jails mit jeweils öffentlicher IP als Webserver. In den Jails sind aktuell Netzwerk-Informationen vom Host und sogar anderen Jails zugänglich. Zum Beispiel liefert das von periodic daily in /etc/periodic/daily/420.status-network ausgeführte netstat -i eine Liste mit allen Jails inklusive IP-Adresse und Traffic-Informationen täglich an den jeweiligen Jail-Administrator.

Gibt es eine Möglichkeit bzw. Konfiguration auf dem Host System die diese Informationen begrenzt? Optimal wäre eine Eingrenzung auf die reinen Jail Informationen ähnlich wie bei den Mountpoints oder Prozessen.

Gruß dagnu

derzeitige Jail Kernel Parameter auf dem Host:
Code:
# sysctl security.jail | sort
security.jail.allow_raw_sockets: 0
security.jail.chflags_allowed: 0
security.jail.enforce_statfs: 2
security.jail.jailed: 0
security.jail.set_hostname_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.sysvipc_allowed: 0
 
schau bitte im jeweiligen jail und aus dem jail heraus unter /dev/ was da ist.
Falls da die gleichen devices wie beim Host sind, fehlt die entsprechende devfs.rules.
Mit einer korrekten devfs.rules ist kein so großer Zugang auf Systeminformationen, es sei denn sie sind expilicit genehmigt, möglich. Folgendes ist via ssh in einem Jail:
Code:
ato# netstat -in
netstat: kvm not available: /dev/mem: No such file or directory
ifnet: symbol not defined
/etc/defaults/devfs.rules ist jailspezifisch vorgefertigt und falls Jails über einen Eintrag in /etc/rc.conf gestartet werden,
Code:
/etc/rc.d/jail start jailname
werden genau mit dieser /etc/defaults/devfs.rules die Rechte unter /jail/dev gesetzt.
Folgendes wieder im Jail (mit ssh) :
Code:
ls /dev
ato# ls /dev/
fd      msdosfs ptyp0   ptyp2   ptyp4   ptyp6   ptyp8   ptypa   ptypc   ptype   ptypg   stderr  stdout  ttyp1   ttyp3   ttyp5   ttyp7   ttyp9   ttypb   ttypd   ttypf   urandom
log     null    ptyp1   ptyp3   ptyp5   ptyp7   ptyp9   ptypb   ptypd   ptypf   random  stdin   ttyp0   ttyp2   ttyp4   ttyp6   ttyp8   ttypa   ttypc   ttype   ttypg   zero
Mehr ist es nicht, fd usw. na ja... (hab ich gar nicht )
Spart Gefrickel und verhindert einiges an Infos über das Hostsystem aus dem Jail heraus..
Hoffe, das kann helfen.
 
Back
Top