Hallo
ich betreibe auf einem Server mehrere Jails mit jeweils öffentlicher IP als Webserver. In den Jails sind aktuell Netzwerk-Informationen vom Host und sogar anderen Jails zugänglich. Zum Beispiel liefert das von periodic daily in /etc/periodic/daily/420.status-network ausgeführte netstat -i eine Liste mit allen Jails inklusive IP-Adresse und Traffic-Informationen täglich an den jeweiligen Jail-Administrator.
Gibt es eine Möglichkeit bzw. Konfiguration auf dem Host System die diese Informationen begrenzt? Optimal wäre eine Eingrenzung auf die reinen Jail Informationen ähnlich wie bei den Mountpoints oder Prozessen.
Gruß dagnu
derzeitige Jail Kernel Parameter auf dem Host:
ich betreibe auf einem Server mehrere Jails mit jeweils öffentlicher IP als Webserver. In den Jails sind aktuell Netzwerk-Informationen vom Host und sogar anderen Jails zugänglich. Zum Beispiel liefert das von periodic daily in /etc/periodic/daily/420.status-network ausgeführte netstat -i eine Liste mit allen Jails inklusive IP-Adresse und Traffic-Informationen täglich an den jeweiligen Jail-Administrator.
Gibt es eine Möglichkeit bzw. Konfiguration auf dem Host System die diese Informationen begrenzt? Optimal wäre eine Eingrenzung auf die reinen Jail Informationen ähnlich wie bei den Mountpoints oder Prozessen.
Gruß dagnu
derzeitige Jail Kernel Parameter auf dem Host:
Code:
# sysctl security.jail | sort
security.jail.allow_raw_sockets: 0
security.jail.chflags_allowed: 0
security.jail.enforce_statfs: 2
security.jail.jailed: 0
security.jail.set_hostname_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.sysvipc_allowed: 0