[rofug] acces la jail

4 views
Skip to first unread message

Orban Zoltan

unread,
Aug 7, 2009, 9:42:00 AM8/7/09
to ro...@rofug.ro
Salutari.
Cum pot sa restrictionez accesul la jailuri pentru situatia in care cineva ar prelua controlul asupra calculatorului gazda? In momentul de fata cu jexec pot sa intru in jailul ales fara sa ma intrebe de nimic. In acest caz degeaba toate masurile de securitate (de ex. am si encriptat partitia pe care sint jailurile).
Astept cu interes raspunsul vostru.
Bafta.
-oz

Vlad Galu

unread,
Aug 7, 2009, 10:32:50 AM8/7/09
to ro...@rofug.ro
2009/8/7 Orban Zoltan <orb...@gmail.com>:

Poti sa incerci un setup cu ugidfw, insa nu cred ca e blocabil din
securelevel. Insa, dupa parerea mea, daca scenariul pe care-l
mentionezi are loc, inseamna ca nu ti-ai facut treaba. Daca tot faci
jailuri, de ce ai mai vrea sa dai acces cuiva pe sistemul gazda? In
orice caz, studiaza
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html,
poate-ti mai vin idei pe parcurs.

________________________________________________________
To unsubscribe send a mail to rofug+un...@rofug.ro

Orban Zoltan

unread,
Aug 7, 2009, 11:28:57 AM8/7/09
to ro...@rofug.ro
Buna.
Nu e vorba de a da acces cuiva pe sistemul gazda. Dar sistemul gazda este pina la urma un calculator legat la o retea, cu portul 22 deschis sa fie administrabil de la distanta si cont de root. Asta e minimul necesar, nu il depasim, dar e minimul necesar.
Ideea este urmatoarea: cum as putea face ca in cazul in care cineva dobindeste acces la calculatorul gazda, sa nu aiba implicit acces si la masinile virtuale din jailuri. Ca sint criptate, ca sint sub forma de un singur fisier (cum face vmware sau virtualbox), orice, dar sa ii dea de furca.
Multumesc,
-oz

2009/8/7 Vlad Galu <du...@dudu.ro>

Vlad Galu

unread,
Aug 7, 2009, 1:03:53 PM8/7/09
to ro...@rofug.ro
2009/8/7 Orban Zoltan <orb...@gmail.com>:

> Buna.
> Nu e vorba de a da acces cuiva pe sistemul gazda. Dar sistemul gazda este
> pina la urma un calculator legat la o retea, cu portul 22 deschis sa fie
> administrabil de la distanta si cont de root. Asta e minimul necesar, nu il
> depasim, dar e minimul necesar.

Minimul necesar reprezinta accesul doar de la anumite IP-uri, nu de
la toate. Sau prin VPN cu clienti roadwarrior (OpenVPN e o solutie
ideala in acest sens). E bine sa-ti iei precautii pe toate nivelele,
insa deocamdata nu l-ai blindat suficient pe primul :)

> Ideea este urmatoarea: cum as putea face ca in cazul in care cineva
> dobindeste acces la calculatorul gazda, sa nu aiba implicit acces si la
> masinile virtuale din jailuri. Ca sint criptate, ca sint sub forma de un
> singur fisier (cum face vmware sau virtualbox), orice, dar sa ii dea de
> furca.

Ti-am raspuns deja, intr-o oarecare masura, in mailul anterior. Eu
personal n-am nimic din masina gazda expus in mod direct, iar pe SSH
intru asa, cum am spus, doar prin VPN. N-am avut niciodata probleme...
Sigur, never say never, dar poate fi o practica utila :)

Orban Zoltan

unread,
Aug 7, 2009, 4:17:15 PM8/7/09
to ro...@rofug.ro
Buna.
Iti multumesc pentru raspuns, ai mentionat corect ca de fapt miezul problemei este in securizarea maxima a sistemului gazda. Asta incerc si eu sa fac. Oricum, intre timp am observat inca o treaba foarte folositoare, si anume ca se poate crea si imagine criptata. Daca imaginea nu ar fi si montata (caci astfel iarasi, daca cineva ajunge pe sistemul gazda are direct acces la fisierele din jailuri) ar fi perfect, dar noh...
Inca o intrebare, daca imi permiti: care e cea mai buna metoda sa duplici un jail folosind ezjail? Nu vorbesc de flavours, desi poate asta e metoda. Practic am nevoie de 5 jailuri care au rol de mail si www si dureaza destul de mult o astfel de instalare. As dori sa fac unul cap coada si dupa aceea sa il multiplic, fiind nevoit la jailurile noi doar sa schimb maruntisuri.
O seara placuta.

Stas SUSHKOV

unread,
Aug 7, 2009, 7:21:28 PM8/7/09
to ro...@rofug.ro
On Fri, 2009-08-07 at 23:17 +0300, Orban Zoltan wrote:
> Buna.
> Iti multumesc pentru raspuns, ai mentionat corect ca de fapt miezul
> problemei este in securizarea maxima a sistemului gazda. Asta incerc
> si eu sa fac. Oricum, intre timp am observat inca o treaba foarte
> folositoare, si anume ca se poate crea si imagine criptata. Daca
> imaginea nu ar fi si montata (caci astfel iarasi, daca cineva ajunge
> pe sistemul gazda are direct acces la fisierele din jailuri) ar fi
> perfect, dar noh...
> Inca o intrebare, daca imi permiti: care e cea mai buna metoda sa
> duplici un jail folosind ezjail? Nu vorbesc de flavours, desi poate
> asta e metoda. Practic am nevoie de 5 jailuri care au rol de mail si
> www si dureaza destul de mult o astfel de instalare. As dori sa fac
> unul cap coada si dupa aceea sa il multiplic, fiind nevoit la
> jailurile noi doar sa schimb maruntisuri.

Salut,
poate greșesc, însă având un pic de experiență cu OpenSolaris/Nexenta,
și citind ceea ce ai descris, cred că o soluție poate fi folosirea unui
sistem de fișiere ce oferă posibilitatea snapshot-urilor.
La momentul de față ZFS-ul din FreeBSD e destul de stable și în 7-STABLE
pare a fi adus la versiunile cele mai recente care îți pot oferi anume
ceea de ce ai tu nevoie - multiplicarea mediului virtual.

Ce-i drept tu ai encriptare și alte detalii care bănuiesc că ar cere
modificări majore pe sistem, însă după mine joaca și-ar merita
chibriturile.

> O seara placuta.

Weekend plăcut.

--
() Campania Panglicii în ASCII
/\ http://stas.nerd.ro/ascii/

Dragos

unread,
Aug 8, 2009, 11:14:34 AM8/8/09
to ro...@rofug.ro
Eu nu replic intregul sistem de fisiere in jail-uri. Folosesc doar aplicatiile necesare. Spre exemplu, pentru un bind, nu am in jail decat 10-20 fisiere in etc, bind-ul, si logurile, doar strictul necesar in dev. Spatiul ocupat pe disc este minim. Mare parte din directoare sunt montate RO. Practic chiar daca este penetrat jail-ul nu se poate face mare lucru in el. Evident si back-up-ul este extrem de subtirel, iar duplicarea jail-ului este foarte simpla.


Dan Angelescu

unread,
Aug 9, 2009, 1:34:39 AM8/9/09
to admin....@gmail.com, ro...@rofug.ro
Buna,

Nu am lucrat cu jailuri insa banuiesc ca cel mai simplu este sa faci doar imaginea unui jail pe care apoi sa o "multiplici" cu mount_nullfs.
schimbarile minore ar trebui facute in fiecare jail.

--- On Sat, 8/8/09, Dragos <admin....@gmail.com> wrote:

Adrian Penisoara

unread,
Aug 9, 2009, 6:50:25 AM8/9/09
to ro...@rofug.ro
Hi,

2009/8/7 Orban Zoltan <orb...@gmail.com>
Buna.
Iti multumesc pentru raspuns, ai mentionat corect ca de fapt miezul problemei este in securizarea maxima a sistemului gazda. Asta incerc si eu sa fac. Oricum, intre timp am observat inca o treaba foarte folositoare, si anume ca se poate crea si imagine criptata. Daca imaginea nu ar fi si montata (caci astfel iarasi, daca cineva ajunge pe sistemul gazda are direct acces la fisierele din jailuri) ar fi perfect, dar noh...
Inca o intrebare, daca imi permiti: care e cea mai buna metoda sa duplici un jail folosind ezjail? Nu vorbesc de flavours, desi poate asta e metoda. Practic am nevoie de 5 jailuri care au rol de mail si www si dureaza destul de mult o astfel de instalare. As dori sa fac unul cap coada si dupa aceea sa il multiplic, fiind nevoit la jailurile noi doar sa schimb maruntisuri.

 In mod normal ezjail replica fiecare nou jail prin nulffs mounts dintr-o singura baza a carei locatie este configurata in ezjail.conf drept $ezjail_jailbase (by default este ${ezjail_jaildir}/basejail).

 Poti customiza acea instalare de baza daca vrei, dar ai grija cand faci "ezjail-admin update" deoarece iti suprascrie customizarile. Altfel foloseste ezjail flavours (customizare prin executia unui script din care poti adauga useri/pachete/etc).

Regards,
Adrian.

Orban Zoltan

unread,
Aug 11, 2009, 8:20:16 AM8/11/09
to ro...@rofug.ro
Excelent sfat, multumesc mult.


 
2009/8/9 Adrian Penisoara <a...@rofug.ro>
Reply all
Reply to author
Forward
0 new messages