UUGRN:10 Jahre UUGRN e.V./Vorträge/FreeBSD Jails - 4 - 7 - 8 - ...

Aus UUGRN

Abstract[Bearbeiten]

Der Vortrag wird sich kurz mit der Historie von Jails beschaeftigen, anschliessend die Neuerungen im aktuellen Release genauer beleuchten und zuletzt einen Ausblick geben, wie sich Jails die letzten Wochen komplett veraendert haben und doch Jails geblieben sind, was moeglich sein wird, was nicht sofort und was laengerfristig denkbar ist.

FreeBSD hat mit Jails bereits Anfang 2000 eine Virtualisierungsloesung gehabt, als Virtualisierung noch nicht in aller Munde war. Lange Zeit konnten Jails die Sichtbarkeit von Prozessen einschraenken und eine IPv4 Adresse zur Verfuegung stellen. Die Sichtbarkeit im Dateisystem wurde mittels chroot eingeschraenkt.

Dieses Konzept hatte aber auch weitreichende Einschraenkungen. Im Laufe der Zeit wurde es durch kleine Erweiterungen ermoeglicht einige Restirktionen gezielt abzuschalten, gleichzeitig aber auch die Isolierung im Sinne des Sicherheitskontextes aufzugegeben.

Pawel Jakub Dawidek wart es, der es durch patches ermoeglichte mehrere IPv4 Adressen in jails zu nutzen.

Zusaetzlich entwickelten mehrere Personen patches um weitere Systemresourcen zu virtualisieren bzw. zu limitieren.

Mit 7.2-Release unterstutzt FreeBSD erstmals offiziell multi-IPv4 Jails und zudem auch multi-IPv6. Als Nebenerscheinung ist es auch moeglich Jails komplett ohne Netzwerkunterstuetzung zu konfigurieren. Zuletzt koennen Jails nun auch auf Prozessorgruppen beschraenkt werden. Dieses Update wurde noetig, da FreeBSD 7 keine weiteren Virtualisierungsmoeglichkeiten von Haus aus unterstuetzte und der Bedarf nach IPv6 stetig wuchs.

Zusaetzlich wurde in diesem Zuge viele kleine, meist unbedeutende information leaks beseitigt.

Durch die massiven Aenderungen wurde aber auch die Grenzen dieser Art der Virtualisierung nochmals deutlicher.

Mit FreeBSD 8 aendern sich Jails nun nochmals komplett. So wird es nicht nur moeglich sein, Jails hierachisch zu konfigurieren, d.h. neue Jails aus einem Jail zu starten, so wird es durch Vimage auch moeglich sein einem Jail seinen eigenen kompletten Netzwerkstack zuzuweisen. Lassen Sie sich ueberraschen, was die im einzelnen bedeutet.

Einen Einblick welche Erweiterungen in der Zukunft moeglich oder bereits geplant sind und welche Alternativen es geben wird, soll den Vortag mit einer Diskussion ueber die Wuensche der Zuhoerer abrunden.

Referent[Bearbeiten]

Bjoern A. Zeeb ist Entwickler und Consultant mit Schwerpunkt Netzwerke und Sicherheit. Neben seiner Anstellung bei der CK Software GmbH widmet er sich zumeist in seiner Freizeit dem OpenSource Betriebssystem FreeBSD als source comitter. Seine Interessen galten zuletzt Jails, IPsec, IPv6 und Vimage. Seit Frebruar 2008 ist er zudem Mitglied des Security Teams.

Bjoern hat seinen Abschluss als Dipl. Ing. (BA) in Informationstechnik 2003 an der Berufsakademie Horb gemacht.

Wenn er nicht gerade am Computer sitzt geniesst er den grossen blauen Raum auf dem Fahrrad oder per pedes und auch gerne mit der Kamera.

Weblinks
Xing Profil