Mein Ziel ist es in einer Jail einen HTTP (und FTP) Server für statische Inhalte unter FreeBSD 8/amd64 zu betreiben. Beide Dienste setzen das Stringparsing und ähnliches, das man in C leicht (exploitbar) falsch macht vorraus. Als HTTP Server soll gatling dienen. Um diesen Dienst zu härten soll er in einer minimalistischen Jail {1} laufen. Ich habe schon häufiger Jails eingesetzt jedoch i.d.R. mit ezjail verwaltet. Dies möchte ich hier vermeiden. In der Jail soll später der Securelevel auf 2 gesetzt und mittels chflags die wichtigen Dateien vor Manipulation geschützt werden.
Der entsprechende Ausschnit aus der rc.conf um die Jail zu starten.:
jail_enable="YES"
jail_list="ftp"
jail_ftp_rootdir="/jails/ftp"
jail_ftp_hostname="ftp1.crest.dn42"
jail_ftp_ip="172.22.228.67"
jail_ftp_devfs="YES"
jail_ftp_devfs_ruleset="devfsrules_jail"
jail_ftp_exec_start="/sbin/start"
Das Problem ist das kein devfs in die Jail gemountet wird. Was übersehe ich hier? Ein testweise von Hand gemountes $jailsroot/dev funktioniert. Ebenso mittels mknod erzeugte statische Devicefiles, was ich aber sehr hässlich finde, denn so kann ich /jails nicht mit nodev mounten.
Der entsprechende Ausschnit aus der rc.conf um die Jail zu starten.:
jail_enable="YES"
jail_list="ftp"
jail_ftp_rootdir="/jails/ftp"
jail_ftp_hostname="ftp1.crest.dn42"
jail_ftp_ip="172.22.228.67"
jail_ftp_devfs="YES"
jail_ftp_devfs_ruleset="devfsrules_jail"
jail_ftp_exec_start="/sbin/start"
Das Problem ist das kein devfs in die Jail gemountet wird. Was übersehe ich hier? Ein testweise von Hand gemountes $jailsroot/dev funktioniert. Ebenso mittels mknod erzeugte statische Devicefiles, was ich aber sehr hässlich finde, denn so kann ich /jails nicht mit nodev mounten.
