Jail und Ping ?

dimi

dimi

Well-Known Member
Hallo zusammen,
mein vorhaben ist in einer Jail (FreeBSD 7.1) den Honeyd-Dienst ans laufen zu bringe.

habe aber folgende Problematik:
freebsd# honeyd -f /etc/honeyd.conf
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[38756]: started with -f /etc/honeyd.conf
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd: ip_open: Operation not permitted
freebsd#
wenn ich z.B. ping machen möchte dann das gleiche:

freebsd# ping web.de
ping: socket: Operation not permitted
freebsd#


Bitte jemanden un Hilfe bzw. Rat. Woran kann das denn liegen? Geht das denn überhaupt aus einer Jail raus?
 
security.jail.allow_raw_sockets auf 1 gesetzt?

aus man jail(8)

This MIB entry determines whether or not prison root is allowed to
create raw sockets. Setting this MIB to 1 allows utilities like
ping(8) and traceroute(8) to operate inside the prison.
 
Denk dran, damit haust du ein Loch in deine Gefängnismauer und rein theoretisch könnte man darüber ausbrechen.
 
Ja wohl, das war die ursache. Ja, rein theoretisch könnte man ausbrechen. Das ist aber eigentlich ziemlich unwahrscheinlich, ausserdem soll nur der dienst Honeyd vorerst in der jail laufen, und er ist eigentlich low-interaction. jetzt hab ich ein weiteres Problem :)

freebsd# honeyd -f /etc/honeyd.conf
Honeyd V1.5c Copyright (c) 2002-2007 Niels Provos
honeyd[1217]: started with -f /etc/honeyd.conf
Warning: Impossible SI range in Class fingerprint "IBM OS/400 V4R2M0"
Warning: Impossible SI range in Class fingerprint "Microsoft Windows NT 4.0 SP3"
honeyd: pcap_lookupdev: no suitable device found
freebsd#

bedeutet das, dass es mir doch nicht gelingen wird den Honeypot in der jail ans laufen zu kriegen?!
 
Ja das ist ja die Frage, wie krieg ich den alle Geräte in die Jail rein? das verzeichnis ist schon da aber da sind nicht alle Geräte drinn wie bei dem Host-System
 
Das ist aber keine besonders gute Idee, Zugriff auf alle Geräte in die Jail zu geben. Dann kann man auch gleich auf die Jail verzichten.
 
Kamikaze schrieb:
Das ist aber keine besonders gute Idee, Zugriff auf alle Geräte in die Jail zu geben. Dann kann man auch gleich auf die Jail verzichten.
Zum Vergrößern anklicken....

Richtig.
NOTE: It is important that only appropriate device nodes in devfs be
exposed to a jail; access to disk devices in the jail may permit pro-
cesses in the jail to bypass the jail sandboxing by modifying files out-
side of the jail. See devfs(8) for information on how to use devfs rules
to limit access to entries in the per-jail devfs. A simple devfs ruleset
for jails is available as ruleset #4 in /etc/defaults/devfs.rules.
Zum Vergrößern anklicken....

Aber auch:

We recommend experimentation and caution that it is a lot easier to start
with a ``fat'' jail and remove things until it stops working, than it is
to start with a ``thin'' jail and add things until it works.
Zum Vergrößern anklicken....

So sprach die Manpage.

Grüße!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben