FreeBSD-jail ersatz

lantis

Sascha Retzki
Ich frage mich seit längerem, wie man, nicht zwangsläufig das Prinzip oder das spezielle Design, sondern eher die private-namespace-geschichte auf OpenBSD "portieren" kann.


Was ich erreichen will ist z.b. das ich mehrere AMP-ähnliche Konstrukte auf OpenBSD habe, auf die per IP|DN zugegriffen werden kann, e.g.:

Code:
192.168.0.1,openbsd: Der OpenBSD-server
192.168.0.2,m00: Apache1, MySQL4 und PHP4 mit den-und-den Einstellungen
192.168.0.3,bla: Apache2, MySQL5 und PHP5 mit anderen den-und-den Einstellungen
usw.

Die AMPs könnte man ja chrooten, um zumindest hier eine Trennung zu erhalten.
Das DN/IP problem wäre dann doch theoretisch gelöst durch aliases, sofern die server in den chroots nur auf die-und-die alias-IP binden, e.g. das m00-apache bindet nur auf 192.168.0.2:80 etc.
Frage 1: Kann der apache von bla auf auch 192.168.0.1:80 binden?

Wenn ja, hat wer ne Idee wie ich das verhindern kann?

Sieht jemand andere Probleme? Sicherheitstechnisch, organisorisch?
(Abgesehen davon das FreeBSD-jails natürlich vom Aufwand her leichter aufzusetzen sind)
 
maus schrieb:
@lantis
Da Du auch NetBSD nutzt bleibt die Frage, warum nicht Xen?

Weil ich OpenBSD für diese Sache einsetzen will ;-)
Xen wäre ne ganz nette sache wenn Xen3 stabilisiert wird und $leute OpenBSD drauf portieren, aber solange das nicht gegeben ist... .
 
Frage 1: Kann der apache von bla auf auch 192.168.0.1:80 binden?

defaultmäßig ja. du kannst ja die adresse:port in der httpd.conf angeben, auf die er binden soll.

Wenn ja, hat wer ne Idee wie ich das verhindern kann?

siehe oben bzw. man httpd bzw. beispiele in der datei /var/www/htdocs/manual angucken.

spontan fiele mir auch noch systrace ein, wird aber sicher bissel komplizierter.
 
uwerler schrieb:
defaultmäßig ja. du kannst ja die adresse:port in der httpd.conf angeben, auf die er binden soll.

Ist mir später auch aufgefallen.

uwerler schrieb:
siehe oben bzw. man httpd bzw. beispiele in der datei /var/www/htdocs/manual angucken.

spontan fiele mir auch noch systrace ein, wird aber sicher bissel komplizierter.

Ersteres kommt in keinster weise in Frage, da sicherheitskritisch. Systrace ist da das Ding.
 
Ersteres kommt in keinster weise in Frage, da sicherheitskritisch.

wieso? der daemon bindet sich sicher nicht von allein auf eine andere adresse. außerdem gibt's ja auch noch pf...

nichtsdestotrotz würde ich auch systrace einsetzen, was dich allerdings sicher einige nerven und zeit kosten wird.
 
uwerler schrieb:
wieso? der daemon bindet sich sicher nicht von allein auf eine andere adresse. außerdem gibt's ja auch noch pf...

nichtsdestotrotz würde ich auch systrace einsetzen, was dich allerdings sicher einige nerven und zeit kosten wird.

Der Sinn und Zweck, oder besser einer der vielen Sinne und Zwecke ist, das ein AMP-system ruhig von "crackern" gecracket werden kann ;-)
 
uwerler schrieb:
...du willst wohl 'nen honey pot aufsetzen?

Nein. Ich will auf einem OpenBSD-host möglichst transparent mehrere versch. Apache,php,mysql(,etc) versionen auf den standard-ports laufen lassen.

(Und wenns lustig ist, auch noch gesystraced usw, für den extra-spaß an der sache ;))
 
Zuletzt bearbeitet:
Zurück
Oben