FreeBSD jail

Allikas: Kuutõrvaja
Redaktsioon seisuga 24. jaanuar 2008, kell 01:29 kasutajalt Jj (arutelu | kaastöö)

Sissejuhatus

Jail on loogiliselt võttes virtuaalmasin, millest selle sees olevad programmid-kasutajad kuidagi välja reaalsesse süsteemi ei näe. Reaalselt on sellisest võimalusest kasu eelkõige erinevate kriitiliste rakenduste oma sandboxidesse surumiseks. Näiteks levinud on Apache panek oma jaili, et mõnes weebirakenduses ilmnev auk, mis annab ründajale apachei õigustes shelli, ei viiks automaatselt kogu süsteemi nägemiseni. Jaile kasutatakse laialt ka virtuaalserverite puhul, kus kliendile antakse oma jail ja seal võib ta root õigustega tegutseda ilma, et see kuidagi ohustaks reaalse süsteemi turvalisust.


Jail erineb host süsteemist peamiselt selle poolest, et ta on selle limiteeritud osa. Näiteks pole võimalik lisada uusi IP aadresse võrgu liidestele, samuti pole võimalik luua uusi võrguseadmeid ( gif / lo ..etc ), ei ole v6imalik mountida asju.. jaili uptime on sama mis hosti oma, jaili kernel on sama mis hosti oma.. jne.


Ühte multifunktsionaalsesse serverisse mahutatakse seega mitu monofunktsionaalset.

Kuigi jaili kirjeldus kõlab nagu oleks tegu virtuaalmasinaga, on tegu siiski kõigest lisakoodiga turvakriitiliste syscallide juures, mis tähendab, et jailiga ei kaasne mitte mingit lisa mälu overheadi.


FreeBSD jails mainly aim at three goals :

Virtualization : Each jail is a virtual environment running on the host machine with its own files, processes, user and superuser accounts. From within a jailed process, the environment is (almost) indistinguishable from a real system.

Security : Each jail is sealed from the others thus providing an additional level of security.

Ease of delegation : Thanks to the limited scope of a jail, it allows administrators to painlessly delegate several tasks which require superuser access without handing out complete control over the system.


Those familiar with Unix will recognize the chroot jail method of restricting the scope of processes. The FreeBSD jail mechanism is more than that: each process is attached a specific kernel structure whose purpose is to limit its interaction with processes running in other jails and restrict the things they can do (for instance a jail is bound to only one IP address and cannot access raw, divert or routing sockets).

Minu arvuti ip on 172.17.0.183, jaili ip hakkab olema 172.17.0.184 ning jaili enda asukoht /usr/jail/jail1.

Jaili loomine

jail kiirelt ja mustalt

Esimesena kompileerime kokku süsteemi source ...eeldusel ,et see on olemas 

cd /usr/src && make buildworld

nüüd loome väikese skripti, mis meisterdab meile soovitud kohta jaili valmis. jaili asukoht määratakse süsteemis muutuja D abil

  1. !/usr/local/bin/bash

D=/usr/jail/jail1 mkdir -p $D cd /usr/src make world DESTDIR=$D cd etc/ make distribution DESTDIR=$D mount_devfs devfs $D/dev

Jaili baasmasina seadistus

vajalik arvuti /etc/rc.conf lisada 

# ip aadressid jailile ja masinale
ifconfig_fxp0="inet 172.17.0.183 netmask 255.255.255.0"
ifconfig_fxp0_alias0="inet 172.17.0.184 netmask 0xFFFFFFFF"

# inetd kuulama vaid lokaalset soketid. Parem kui inetd üldse ei töötaks
inetd_flags="-wW -a 172.17.0.183"

# syslog kuulama lokaalset socketit
syslogd_flags="-ss"

# rpcbind võib põhjustada konflikte jailiga
rpcbind_enable="NO"

# loodava jaili spetsiifilised parameetrid
jail_enable="YES"
jail_list="test"
jail_test_hostname="yhikas"
jail_test_ip="172.17.0.184"
jail_test_rootdir="/usr/jail/jail1"
jail_test_exec="/bin/sh /etc/rc"
jail_test_procfs_enable="Yes"


masina /etc/ssh/sshd_config muudame selliselt 


ListenAddress   172.17.0.183
UseDNS          no

Jaili konf

Liigume kausta /usr/jail/jail1

jaili /etc/rc.conf 

rpcbind_enable="NO"
network_interfaces=""
hostname="yhikas"
sshd_enable="YES"
sendmail_enable="NO"
syslogd_flags="-ss"
inetd_flags="-wW -a 172.17.0.184"

Jaili /etc/ssh/sshd_config muudame selliselt 

ListenAddress   172.17.0.184
UseDNS          no


Jaili tühi /etc/fstab 

touch /usr/jail/jail1/etc/fstab

Jaili /etc/resolv.conf kirjutame enda nimeserveri, mida kasutame, mina kirjutasin sinna kadri.ut.ee 

ln -s /var/run/log /usr/jail/jail1/dev/log

paneme jaili käima 

jail /usr/jail/jail1 test 172.17.0.184 /bin/sh

nüüd võib luua userid seada root kasutaja parooli jms tegevused

Lingid

http://phk.freebsd.dk/pubs/sane2000-jail.pdf

http://www.freebsd.org/cgi/man.cgi?query=jail&format=html

http://www.bsd.ee/dwiki/doku.php?id=freebsd_jail_loeng

NetBSD ja OpenBSD jaili analoog sysjail

http://sysjail.bsd.lv/

http://www.nycbsdcon.org/2006/files/sysjail-nycbsdcon.pdf.gz

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=FreeBSD_jail&oldid=5955"