MySQL in Jail nicht erreichbar

Thrasher

SystemBitch
N'aben allerseits


Sitze mit meinem Arbeitskollegen bei mir zuhause und wir arbeiten noch an unserem jailprojekt welches wir am fri fertig haben müsse *kotz*...

nun, ein Problem das sich nun seit dem Nachmittag nicht lösen lässt ist das wir in dem Jail nun nen MySQL laufen haben. ganz normal

LOCAL ADDRESS FOREIGN ADDRESS
xxx.jai.lip.xxx:3306 *:*

im jail per mysql auf def. Port 3306 klappt .. auf die jail IP ... klappt ...

Wenn ich nun auf das Host system geh, wo das jail drauf läuft, dort nen mysql mache...klappt ... ABER wenn ich nun von einem System in der gleichen C klasse komme, hlappts nicht mehr ... (connect direkt auf Jail IP) .... Auf dem hostsystem hab ich ne ipfw am laufen... jetzt denk sicher jeder das es an dem lieght...hatte ich auch, aber kann es nicht sein ... in dem Jail läuft auch ein apache, port 80 ..der ist ohne probleme erreichbar (regel vpn apache mit 3306 port erweitert ...1000% dummysicher) ... also, sollte doch gehn oder?... ne nix ... wenn ich das log einfüge für die regel, zeigt er mir gar nichts an, ob allow oder deny...für andere in der gleichen C klasse wie sich die IP des jails befindet, schon (denys von netz scannern) . zu erwähnen ist, dass eine halbe c klasse auf die IP des interfaces des hostservers geroutet wurde, in welcher sich dann die jails befinden..sollte aber kein problem sein...

es kann fast nur die FW sein, aber die lässt es durch...hab 5.3 im einsatz ... sysctls ?... sonst irgendwas?...hab alles versucht und beim letzten jserver mit 4.9 hatte ich dieses Problem nicht..und wie gesagt..nur mit sql..http, ssl, ftp etc..gehn alle ....

ideen ? *verzweifeltfrag*...


Thrasher
 
soetwas hatte ich auch.

hast du schonmal versucht den mysql server über den hostname der jail anzusprechen? hilft das vielleicht?
 
yep, hab ich aber auch so gehts nicht...aber das problem liegt tiefer..sonst würde ja immerhin ein telnet connect gehn...und der bringt mir schon ein timeout auf 3306 ....

der sql würde dan ne fehlermeldung bringen, wenns mir recht im Kopf ist ...
 
hat BSD 5.3 da vielleicht was geändert?... MySQL sollte ja nicht anderst zu handhaben sein als Apache und wie gesagt, im Jail drin geht's .....und auf dem Hostsystem auch ....
 
Möglicherweise hat das mit meinem Problem zu tun:


rakso schrieb:
Schon wieder ich mit Problem....

All meine Jails haben ein vom System read-only gemountetes /usr - Filesystem.

Habe schon mysql-4.0.23 mysql-4.1.8 im System installiert - dort gibts keine Probleme.

In der Jail jedoch heisst es immer Segmentation fault (core dumped).

Ein Backup von der vorherigen Version gibts leider nicht.
Daher ist Handeln angesagt... nur was??


[ Das sshd-Problem war gelöst durch kopieren von /lib/* in die Jails - da dies ja nicht vom System gemounted war.... hier vielleicht ähnliches?! ]


Wie kann man dem dump-file näheres zu der Unfallursache:) herausnbekommen?

Mal mit "less" reingeschaut

"VsFatal erro r: Can't allocate memory in regex_init"
"POSIX 1003.1 1996 s16.2.5.2 does not allow this!^@/usr/src/lib/libpthread/thread/thr_exit.c^@Dead thread has resumed"



Edit:
Jetzt habe ich beholfen, in dem ich MySQL mit folgenden Optionen im System startete:

--bind-address=JAIL_IP --user=mysql --datadir=/Path_to_Jail/var/db/mysql

Aber so sollte das nicht dauerhaft sein... also her mit Ideen :)


[ http://www.bsdforen.de/showthread.php?t=8271 ]
 
Salü Rakso

ne, denke nicht das wir das gleiche problem haben .....


Wer kann mir sagen was damit gemeint ist?...

Maybe you run mysqld in AF_UNIX socket mode (aka secure mode) and it never opens AF_INET socket


viellicht muss ich sagen, dass ich auf dem hostsystem ne ipfw firewall am runnen abe...das jail sich darauf befindet..aber eben, auf port 80 kein problem, auf port 3306 (geliche regeln) gehts nicht..keine ahnung ....


Hoffe um hilfe :-))

Thrasher
 
Thrasher schrieb:
Wer kann mir sagen was damit gemeint ist?...

Maybe you run mysqld in AF_UNIX socket mode (aka secure mode) and it never opens AF_INET socket
Das meint, dass MySQL keinen TCP-Socket zur Kommunikation sondern einen benannten Socket (named socket) im Dateisystem benutzt, z.B. /tmp/mysql.sock. Auf diesem Wege kann man nur mit dem Datenbankserver reden, wenn man Zugriff auf das Dateisystem bzw. diese Datei hat.
 
mysql-jail

Thrasher schrieb:
N'aben allerseits


Sitze mit meinem Arbeitskollegen bei mir zuhause und wir arbeiten noch an unserem jailprojekt welches wir am fri fertig haben müsse *kotz*...

nun, ein Problem das sich nun seit dem Nachmittag nicht lösen lässt ist das wir in dem Jail nun nen MySQL laufen haben. ganz normal

LOCAL ADDRESS FOREIGN ADDRESS
xxx.jai.lip.xxx:3306 *:*

im jail per mysql auf def. Port 3306 klappt .. auf die jail IP ... klappt ...

...

es kann fast nur die FW sein, aber die lässt es durch...hab 5.3 im einsatz ... sysctls ?... sonst irgendwas?...hab alles versucht und beim letzten jserver mit 4.9 hatte ich dieses Problem nicht..und wie gesagt..nur mit sql..http, ssl, ftp etc..gehn alle ....

ideen ? *verzweifeltfrag*...


Thrasher

Port 3306 mittels ipfw nach aussen blocken, wenn denn mysql auf
derselben Maschine sitzt wie z.B. router,apache usw...

Jail ist für named sinnvoll. Für mysql nicht. Habe mysql auf einem alten spermüllrechner gesondert laufen und trotzdem gute Performance.

MfG

MFC
 
mikefeldmeier2 schrieb:
Du sagst es. Standardmaessig. Wer sagt denn, dass man
das so lassen muss ?
Ich meine bloß, dass wenn man bind benutzt und keine besonderen Ansprüche hat, dann sich nicht die Mühe machen muss, es in ein Jail zu sperren.

Gruß Björn
 
DNS-client-BIND9

Björn König schrieb:
Ich meine bloß, dass wenn man bind benutzt und keine besonderen Ansprüche hat, dann sich nicht die Mühe machen muss, es in ein Jail zu sperren.

Gruß Björn

Hi !

was sind -keine besonderen Ansprüche- ??
Nen einfachen DNS-client ?
Nur Fake-Einträge in named.conf ?
Nur localhost in der resolv.conf ?

Oder keinen dig für named.root (Viel Spass beim resolving) ?
Chroot-Umgebungen (ob für FTP oder DNS) sind gefährlicher
als vernünftig konfigurierte jails.

Gut, man kann BSD 5.3 auch ohne Firewall und mit
low securelevel installieren.

Standardmässige Geschichten sind immer zu überdenken.

MfG

MFC
 
chroot-jail

Björn König schrieb:
Weswegen?


Alles ist immer zu bedenken, nur sind Vorgaben meist so gewählt, dass sie für einfachste Szenarien (i.d.F. z.B. Weiterleitung oder Cache) genügend sind.

Björn

Hi !

Nur nen Auszug...

###

A root user can nearly always break out of a chroot jail, unless your OS
kernel has added provisions to prevent such breakouts. (standard Linux does
NOT have such provisions, because they break compatibility rules, OpenBSD
might have them)

So really the "right" way is to do both.. chroot to a jail _and_ setuid to
a non-root user.

This has 0 performance impact, and adds a great deal of security against
exploitation of the snort process itself. The only headache is creating the
chroot jail to chroot into.

###

Geht zwar um snort, ist aber ein Beispiel. Ansonsten:

google chroot vs jail

MfG

MFC
 
mikefeldmeier2 schrieb:
A root user can nearly always break out of a chroot jail, unless your OS kernel has added provisions to prevent such breakouts.
Ich vermute mal, alles ab "unless" ist der Fall, denn FreeBSD-Jails basieren auf dem chroot(2)-Befehl.

Und auch Jails sind nicht total sicher, denn wenn man in der Lage ist, vom Hostsystem aus einen einzigen beliebigen mv-Befehl als root abzusetzen, dann kann man bei FreeBSD auch aus einem Jail ausbrechen, wenn nicht entsprechende Vorkehrungen getroffen worden sind.

Gruß Björn
 
Zuletzt bearbeitet:
Jail

Björn König schrieb:
Ich vermute mal, alles ab "unless" ist der Fall, denn FreeBSD-Jails basieren auf dem chroot(2)-Befehl.

Und auch Jails sind nicht total sicher, denn wenn man in der Lage ist, vom Hostsystem aus einen einzigen beliebigen mv-Befehl als root abzusetzen, dann kann man bei FreeBSD auch aus einem Jail ausbrechen, wenn nicht entsprechende Vorkehrungen getroffen worden sind.

Gruß Björn

Hi !

wie bereits gesagt, alles standartmässige heisst eben
KEINE Vorkehrungen. Es empfiehlt sich ohnehin BIND auf
einer eigenen maschine laufen zu lassen. Im übrigen
basierten bereits in Series 4 die Jails auf chroot, bei BSD 5.,3
jedoch nicht nur.

MfG

MFC
 
Zurück
Oben