Diskussion:Top.uugrn.org/Jailkonzept

Aus UUGRN

Security[Bearbeiten]

Symlink-Attacke, Ausbruch aus dem Jail[Bearbeiten]

Durch einen Fehler in /etc/rc.d/jail war es einem jailed-root möglich, durch setzen eines Symlinks aus seinem Jail auszubrechen. Der Angriff ist jedoch nur beim Start oder Stop eines Jails erfolgreich, bei dem das rc.script ausgeführt wird. Dieser Bug wurde behoben. Das Script auf top wurde entsprechend aktualisiert und getestet.

siehe auch

--RaBe 03:59, 13. Jan 2007 (CET)

Fehler beim Jailstart löscht alle IPs vom Interface[Bearbeiten]

Durch einen Bug in /etc/rc.d/jail wurde ifconfig -alias mit falschen Parametern aufgerufen, falls der Start eines Jails fehlgeschlagen ist. Dies kann z.B. durch Fehler INNERHALB des Jails passieren, z.B. bei einem Syntaxfehler in /etc/rc.conf oder sonstwo. Letztendlich hat der Fehler dazu geführt, dass die Maschine komplett vom Netz geht und (im Fall von top) nur noch seriell erreicht werden kann. Dieser Bug wurde kurz vor 6.2-RELEASE behoben. Das Script auf top wurde entsprechend aktualisiert.

siehe auch

--RaBe 03:59, 13. Jan 2007 (CET)


Planung[Bearbeiten]

Das Jail-Konzept befindet sich aktuell noch in der Planungsphase. Erste Umsetzungen wurden begonnen. Zunächst werden vereinsinterne Infrastruktur-Jails errichtet und getestet. Im nächsten Schritt wird ein gemeinsames Benutzer-Jail eingerichtet, auf dem alle Mitglieder auf Wunsch einen normalen User-Shell-Login erhalten (siehe UUGRN:Shell).

Sobald diese Infrastruktur stabil läuft, wird ein Standard-Jail entwickelt. Es geht darum, ein Script zu entwerfen, welches aus verfügbares Ressourcen ein benutzbares Standard-Jail erzeugt. Dieses Script wird mit testjail.uugrn.org getestet und verfeinert.

Es ist geplant, dieses Script unter der BSD-Lizenz zu veröffentlichen.

Sobald dieses automatische Script "stabil" läuft, d.h. das automatisch erstellte Jail als "schlüsselfertig" angesehen werden kann, werden die Mitglieder-Jails damit angelegt.

--RaBe 20:58, 13. Jun 2006 (CEST)

Aufgrund der teilweise massiven Netzstörungen bei scram habe ich soeben vorab schon das User-Shell-Login-Jail erstellt. Es ist derzeit noch recht minimalistisch. --Mile 15:44, 6. Jul 2006 (CEST)


Ich weiß nicht, wie es den anderen geht, aber ich bin nicht davon erbaut, das inzwischen bei Google zu meinem Namen eine IP-Adresse zu finden ist ( oder auch umgekehrt zu sehen ). Den Beitrag will ich nicht einfach ändern, sondern bitte RaBe hiermit, die Tabelle anders aufzubauen

--che 21:06, 16. Jul 2006 (CEST) P.S. : ich bin in den nächsten 10 Tagen internetlos im Urlaub, kann also nicht antworten.