Jails Aufwand/Nutzen

zeec

Well-Known Member
Mich würde die Sicherheit bezüglich Jails interessieren.

Von der einen Seite hört man immer, man soll Serverdienste in Jails laufen lassen,
da diese höhere Sicheit bzw. eine zusätzliche Hürde sind, falls eine Sicherheitslücke bei einem
Deamon ausgenutzt werden konnte.

Die andere Seite behauptet, der Aufwand würde sich nicht lohnen, da Jails auf jeden Fall
(so hört es sich zumindest an) geknackt werden können und somit nur eine kleine
Zeitverzögerung für den Angreifer bedeuten.

Leider finde ich eben nur "Behauptungen" und keine Demonstrationen dazu.
Was ist an der Sache nun wirlich dran?

thx
 
es gibt nen sehr gutes tutorials was der grunix geschrieben hat zu jails.
kannst ja mal die suche benutzten da und nach jail suchen da wirst du auch einige diskussionen ueber die sicherheit finden.
der punkt is aber selbst wenn ein einbrecher die jail knackt kann er nur schaden in der jail anrichten und nich im system selber.
wenn du siehst da is was los loesch die jail notfalls und spiel eine kopie ein und patch sie notfalls und das system laeuft weiter ohne das das hauptsystem befallen ist.

das sollte dir ja in sachen sicherheit einiges beantworten.

JAIL howto : http://www.bsdforen.de/showthread.php?t=5911&highlight=jail

cu marvin
 
zeec schrieb:
Mich würde die Sicherheit bezüglich Jails interessieren.
Von der einen Seite hört man immer, man soll Serverdienste in Jails laufen lassen,
da diese höhere Sicheit bzw. eine zusätzliche Hürde sind, falls eine Sicherheitslücke bei einem
Deamon ausgenutzt werden konnte.

Mann kann, muss aber nicht die Serverdienste in einer Jail laufen lassen. Andere Systeme sind auch ohne Jails sicher (OpenBSD, NetBSD,...).

Die andere Seite behauptet, der Aufwand würde sich nicht lohnen, da Jails auf jeden Fall
(so hört es sich zumindest an) geknackt werden können und somit nur eine kleine
Zeitverzögerung für den Angreifer bedeuten.
Leider finde ich eben nur "Behauptungen" und keine Demonstrationen dazu.
Was ist an der Sache nun wirlich dran?

Ich weiss nicht was mit "Aufwand" gemeint ist, aber wenn ich mir "man jail" ansehe, oder mein howto (http://www.encephalon.de/freebsd/freebsd.html), dann sehe ich keinen wirklich grosse Aufwand. Ist die Jail erstmal erstellt und konfiguriert, muss ich die entsprechenden Serverdienste (httpd, smtp, pop, imap, $wasauchimmer) ebenso wie auf einem System ohne Jail installieren, konfigurieren. Der Aufwand bleibt der gleiche (bis auf Installation und Konfiguration der Jail).

Vorteile:
--> System ist sicherer.
- Bricht jemand in die Jail ein weil das ssh-pw leicht zu erraten war oder ein Dienst eine Lücke hat, so bleibt das eigentliche System, der Host, aussen vor. Der Angreifer muss also erstmal wieder eine weitere Hürde nehmen um auch auf den Host zu kommen. Sicher, wenn er genug Rechte in der Jail erlangt kann er die Serverdienste runterfahren, die webseite verändern, oder was weiss ich mit machen, nichts anderes als wenn diese Dienste auf dem Host direkt laufen würden. Vorteil dabei aber, merkt man das Eindringen, so kann man die Jail runterfahren, wegschieben, eine Backupjail hinschieben und diese starten. Das System ist wieder sauber. Bricht jemand direkt in das Hostsystem ein weiss man nie was der alles an backdoors und bla installiert hat, mit einer Jail geht es leichter und schneller. Danach kann man sich ranmachen und die wegkopierte Originaljail untersuchen wo das problem lag.

--> System ist aufgeräumter
- Wenn ich Jails habe kann ich Serverdienste schön voneinander trennen und habe so einen leichteren Überblick (was nun wiederum sehr subjektiv sein kann)

--> Backup ist leicht
- Ich kann eine ganze Jail einfach mit "cpdup" kopieren und habe somit ein Backup von dieser. Kann diese, wie schon angesprochen, einfach wieder reaktivieren und muss kein neues System aufsetzen.

--> Aufwand kleiner, recover schneller
- Ist das Hostsystem komplett im Eimer, Plattenausfall, $wasauchimmer, so habe ich meine Backupjails. Einfach ein neues System auf einer neuen Platten aufsetzen (das geht ja flugs) die Jails rüberkopieren, starten, meine Serverdienste laufen wieder. Ja, wer ein Backup des kompletten Systems hat kann sich freuen, das einfach wieder einspielen, dann braucht es auch keine jails (dennoch finde ich die Möglichkeit mit den Jails in diesem Falle eleganter)

Nachteile:
--> Zeitaufwand
- Um eine Jail einzurichten dauert es etwas, man stösst hier und da auf Probleme. Ist diese aber erstmal installiert, so kann man mit einer Grundkonfiguration, eine Kopie mittels "cpdup" machen, und die nächste Jail steht schon wieder (bis auf ein paar kleine Anpassungen (IP, hostname,...)).

Alles in allem finde ich Jails eine hervorragende Sache.
Was nun eine Deminstration angeht, weiss ich nicht was Du damit meinst.
 
Was nun eine Deminstration angeht, weiss ich nicht was Du damit meinst.
Ich meinte damit, dass ich bis jetzt noch keine Beweis gesehen habe, von den Leuten, die
behaupten jede Jail sei in "aktzeptabler" Zeit überwindbar und man könne aus ihr Ausbrechen
und somit auch das "eigentliche/richtige" System ohne weitere Probleme angreifen.

Gibt es die Möglichkeit von einer richtig konfigurierten Jail, ohne Sicherheitslücken zugriff auf das System
ausserhalb der Jail zu bekommen?
 
Moin.

zeec schrieb:
Ich meinte damit, dass ich bis jetzt noch keine Beweis gesehen habe, von den Leuten, die
behaupten jede Jail sei in "aktzeptabler" Zeit überwindbar und man könne aus ihr Ausbrechen
und somit auch das "eigentliche/richtige" System ohne weitere Probleme angreifen.

Wer behauptet _das_ denn?
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:12.jailroute.asc
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:03.jail.asc
Das ist mir auf die schnelle unter die Nägel gekommen.
Dementsprechend gibt es genug andere "Sicherheitslücken" auf einem normale FreeBSD System. Patch einspielen gut ist. Bis zum nächsten entdeckten Lochfrass.
Ich weiss also nun nicht welche "hacks" diese Personen verwenden um von einer Jail "mal eben so" auf das Hostsystem zu kommen. Auch die Jail-Prozedur kann einen bug haben den man ausnutzen könnte um dies hunzubekommen, "könnte"(!). Ebenso kann ein normales FreeBSD, NetBSD, wasauchimmer ein solches Problem haben.


Gibt es die Möglichkeit von einer richtig konfigurierten Jail, ohne Sicherheitslücken zugriff auf das System
ausserhalb der Jail zu bekommen?

Kannst Du auf ein System im Netz ohne Sicherheitslücken Zugriff bekommen? Ja und nein, je nachdem wue gut Du beim hacken und ausnutzen irgendwelcher Löcher bist.
Analog dazu verhält es sich mit einer Jail.
 
Bzgl. Nutzen/Aufwand kommt neben Sicherheit noch das VM'ing hinzu.
So können sich z.B. verschiedene Abteilungen (Programmierer/DBAs/SysAdms) eine physikalische Maschiene teilen.
Somit senkt man HW+Administrationskosten !

Gruß
 
Zuletzt bearbeitet:
ich war anfangs auch etwas verunsichert als ich über jails das erste mal hier in diesem forum gelesen habe. aber nach dem ich das howto von asg durch gemacht habe, bin ich total zufrieden mit meinen jails. man hat wirklich alles besser unter kontrolle. auch die backups sind viel einfacher und schöner zu bewerkstelligen.
was die sicherheit angeht kann ich leider nicht viel dazu sagen, allerdings glaube ich dass es logisch klingt, dass wenn man mehrere "systeme" hat, es dem angreifer noch viel schwerer macht in die einzelen rein zu kommen.
 
Zurück
Oben