diff options
author | Bjoern Heidotting <bhd@FreeBSD.org> | 2016-04-08 17:49:39 +0000 |
---|---|---|
committer | Bjoern Heidotting <bhd@FreeBSD.org> | 2016-04-08 17:49:39 +0000 |
commit | c86e57280975027b512798aeea531fe70d423e91 (patch) | |
tree | 1801b5b0b958e6db41db15dd25c8c30dccf983b3 /de_DE.ISO8859-1/books/handbook/jails | |
parent | 7f0f93c9598cfa54ac0a4f58ed518f53847ec6d2 (diff) | |
download | doc-c86e57280975027b512798aeea531fe70d423e91.tar.gz doc-c86e57280975027b512798aeea531fe70d423e91.zip |
Update to r44513:
Integrate later Introduction into the Synopsis of the Jails chapter.
Notes
Notes:
svn path=/head/; revision=48552
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/jails')
-rw-r--r-- | de_DE.ISO8859-1/books/handbook/jails/chapter.xml | 236 |
1 files changed, 96 insertions, 140 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/jails/chapter.xml b/de_DE.ISO8859-1/books/handbook/jails/chapter.xml index d45fb84360..d78f747b6c 100644 --- a/de_DE.ISO8859-1/books/handbook/jails/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/jails/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ - basiert auf: r44409 + basiert auf: r44513 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="jails"> <info><title>Jails</title> @@ -19,20 +19,92 @@ </authorgroup> </info> - <indexterm><primary>jails</primary></indexterm> <sect1 xml:id="jails-synopsis"> <title>Übersicht</title> - <para>Dieses Kapitel erklärt, was &os;-Jails sind und wie man sie - einsetzt. Jails, manchmal als Ersatz für - <emphasis>chroot-Umgebungen</emphasis> bezeichnet, sind ein sehr - mächtiges Werkzeug für Systemadministratoren, jedoch kann deren - grundlegende Verwendung auch für fortgeschrittene Anwender - nützlich sein.</para> + <para>Da die Systemadministration eine schwierige Aufgabe ist, + wurden viele Werkzeuge entwickelt, die Administratoren bei der + Installation, Konfiguration und Wartung ihrer Systeme + unterstützen sollen. Eines dieser Werkzeuge, die verwendet + werden können um die Sicherheit eines &os;-Systems zu + erhöhen, sind <firstterm>Jails</firstterm>. Jails sind seit + &os; 4.X verfügbar und werden ständig in ihrer + Nützlichkeit, Leistung, Zuverlässigkeit und Sicherheit + verbessert.</para> + + <para>Jails setzen auf dem &man.chroot.2;-Konzept auf, das dazu + verwendet wird das root-Verzeichnis einer Reihe von Prozessen + zu ändern, um so eine separate, sichere Umgebung zu schaffen. + Prozesse, die in einer chroot-Umgebung erstellt wurden, können + nicht auf Dateien oder Ressourcen zugreifen, die sich außerhalb + dieser Umgebung befinden. Dadurch ist es einem kompromittierten + Dienst nicht möglich, das gesamte System zu kompromittieren. + Im Laufe der Zeit wurden viele Wege gefunden, um aus einer + chroot-Umgebung auszubrechen, so dass es für die Sicherung von + Diensten nicht die ideale Lösung ist.</para> + + <para>Jails verbessern das traditionelle chroot-Konzept auf + unterschiedlichste Art und Weise. In einer traditionellen + chroot-Umgebung sind Prozesse auf den Bereich des Dateisystems + beschränkt, auf den sie zugreifen können. Der Rest der + Systemressourcen (wie zum Beispiel eine Reihe von + Systembenutzern, die laufenden Prozesse oder das + Netzwerk-Subsystem) teilen sich die chroot-Prozesse mit dem + Host-System. Jails erweitern dieses Modell nicht nur auf die + Virtualisierung des Zugriffs auf das Dateisystem, sondern auch + auf eine Reihe von Benutzern und das Netzwerk-Subsystem. Zudem + stehen weitere Möglichkeiten zur Verfügung, den Zugriff auf eine + Jail-Umgebung zu kontrollieren.</para> + + <para>Eine Jail zeichnet sich durch folgende Merkmale + aus:</para> + <itemizedlist> + <listitem> + <para>Ein Unterverzeichnisbaum: dies ist der Ausgangspunkt der + Jail. Einem Prozess, der innerhalb der Jail läuft, ist es + nicht mehr möglich, aus diesem Unterverzeichnis + auszubrechen.</para> + </listitem> + + <listitem> + <para>Ein Hostname: dieser Name wird für die Jail + verwendet.</para> + </listitem> + + <listitem> + <para>Eine <acronym>IP</acronym> Adresse: diese Adresse wird + der Jail zugewiesen. Die <acronym>IP</acronym>-Adresse + einer Jails ist üblicherweise ein Adress-Alias auf eine + existierende Netzwerkschnittstelle.</para> + </listitem> + + <listitem> + <para>Ein Kommando: der Pfad einer ausführbaren Datei, die + innerhalb der Jail ausgeführt werden soll. Dieser Pfad wird + relativ zum root-Verzeichnis der Jail-Umgebung + angegeben.</para> + </listitem> + </itemizedlist> + + <para>Jails haben einen eigenen Satz von Benutzern und ihren + eigenen <systemitem + class="username">root</systemitem>-Konto. Die Rechte + dieser Benutzer sind nur auf die Jail-Umgebung beschränkt. + Der Benutzer <systemitem class="username">root</systemitem> + der Jail-Umgebung ist nicht dazu berechtigt, kritische + Operationen am System außerhalb der angebundenen + Jail-Umgebung durchzuführen.</para> + + <para>Dieses Kapitel erklärt, was &os;-Jails sind und wie sie + eingesetzt werden. Jails sind ein sehr mächtiges Werkzeug für + Administratoren, jedoch kann deren grundlegende Verwendung + auch für fortgeschrittene Anwender nützlich sein.</para> + + <!-- <important> <para>Jails sind ein mächtiges Werkzeug, aber sie sind kein Sicherheits-"Allheilmittel". Es ist wichtig zu beachten, dass @@ -47,7 +119,7 @@ unpriviligierte Benutzer der Host-Umgebung nicht zugänglich ist.</para> </important> - +--> <para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie</para> <itemizedlist> @@ -67,26 +139,20 @@ </listitem> </itemizedlist> - <para>Weitere nützliche Informationen über Jails - sind beispielsweise in folgenden Quellen zu finden:</para> - - <itemizedlist> - <listitem> - <para>Der &man.jail.8; Manualpage. Diese umfassende Referenz - beschreibt, wie man unter &os; eine Jail startet, anhält - und kontrolliert.</para> - </listitem> + <important> + <para>Jails sind ein mächtiges Werkzeug, aber sie sind kein + Sicherheits-"Allheilmittel". Es ist wichtig zu beachten, dass + es für einen Prozess in der Jail nicht möglich ist, von selbst + auszubrechen. Es gibt jedoch Möglichkeiten, in denen ein + unprivilegierter Benutzer außerhalb der Jail, mit einem + privilegierten Benutzer innerhalb der Jail kooperiert, und + somit erhöhte Rechte in der Host-Umgebung erlangt.</para> - <listitem> - <para>Den Mailinglisten und deren Archive. Die Archive der - Mailingliste &a.questions; und anderen Mailinglisten, welche - vom &a.mailman.lists; bereitgestellt werden, beinhalten - bereits umfangreiche Informationen zu Jails. Daher ist es - sinnvoll, bei Problemen mit Jails zuerst die Archive der - Mailinglisten zu durchsuchen, bevor Sie eine neue Anfrage - auf der Mailingliste &a.questions.name; stellen.</para> - </listitem> - </itemizedlist> + <para>Den meisten dieser Angriffe kann vorgebeugt werden, indem + sichergestellt wird, dass das Rootverzeichnis der Jail für + unprivilegierte Benutzer der Host-Umgebung nicht zugänglich + ist.</para> + </important> </sect1> <sect1 xml:id="jails-terms"> @@ -153,117 +219,6 @@ </variablelist> </sect1> - <sect1 xml:id="jails-intro"> - <title>Einführung</title> - - <para>Da die Systemadministration oft eine schwierige Aufgabe ist, - wurden viele mächtige Werkzeuge entwickelt, die - Administratoren bei Installation, Konfiguration und Wartung ihrer - Systeme unterstützen sollen. Eine wichtige Aufgabe eines - Administrators ist es, Systeme so abzusichern, dass es im - regulären Betrieb zu keinen Sicherheitsverstößen - kommt.</para> - - <para>Eines der Werkzeuge, mit dem die Sicherheit eines &os;-Systems - verbessert werden kann, sind Jails. Jails wurden schon in - &os; 4.X von &a.phk.email; eingeführt, wurden jedoch mit - &os; 5.X stark verbessert, sodass sie inzwischen zu einem - mächtigen und flexiblen Subsystem herangereift sind. Trotzdem - geht die Entwicklung nach wie vor weiter. Wichtige Ziele sind - derzeit: Bessere Zweckmäßigkeit, Leistung, - Ausfallsicherheit und allgemeine Sicherheit.</para> - - <sect2 xml:id="jails-what"> - <title>Was ist eine Jail?</title> - - <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten - von 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu - benutzt werden, das root-Verzeichnis einer Reihe von Prozessen - zu ändern, um so eine seperate sichere Umgebung (abgeschnitten - vom Rest des Systems) zu schaffen. Prozesse, die in einer - chroot-Umgebung erstellt wurden, können nicht auf Dateien - oder Ressourcen zugreifen, die sich ausserhalb der Umgebung - befinden. Dadurch ist es einem kompromittierten Dienst nicht - möglich, das gesamte System zu kompromittieren. - &man.chroot.8; eignet sich für einfache Aufgaben, die keine - flexiblen, komplexen oder fortgeschrittenen Funktionen - benötigen. Obwohl seit der Entwicklung des chroot-Konzepts - zahlreiche Sicherheitslöcher geschlossen wurden, die es - einem Prozess erlauben konnten, aus einer Jail auszubrechen, - war seit langer Zeit klar, dass &man.chroot.2; nicht die ideale - Lösung ist, einen Dienst sicher zu machen.</para> - - <para>Dies ist einer der Hauptgründe, warum - <emphasis>Jails</emphasis> entwickelt wurden.</para> - - <para>Jails setzen auf dem traditionellen &man.chroot.2;-Konzept - auf und verbessern es auf unterschiedlichste Art und Weise. In - einer traditionellen &man.chroot.2;-Umgebung sind Prozesse auf - den Bereich des Dateisystems beschränkt, auf den sie - zugreifen können. Der Rest der Systemressourcen (wie zum - Beispiel eine Reihe von Systembenutzern, die laufenden Prozesse - oder das Netzwerk-Subsystem) teilen sich die chroot-Prozesse mit - dem Host-System. Jails dehnen dieses Modell nicht nur auf die - Virtualisierung des Zugriffs auf das Dateisystem, sondern auch - auf eine Reihe von Benutzern, das Netzwerk-Subsystem des - &os;-Kernels und weitere Bereiche aus. Eine ausführlichere - Übersicht der ausgefeilten Bedienelemente zur Konfiguration - einer Jail-Umgebung finden Sie im Abschnitt <xref linkend="jails-tuning"/> des Handbuchs.</para> - - <para>Eine Jail zeichnet sich durch folgende Merkmale aus:</para> - - <itemizedlist> - <listitem> - <para>Einen Unterverzeichnisbaum, der die Jail enthält. - Einem Prozess, der innerhalb der Jail läuft, ist es - nicht mehr möglich, aus diesem auszubrechen. Von - der traditionellen &man.chroot.2;-Umgebung bekannte - Sicherheitsprobleme existieren bei &os;-Jails nicht - mehr.</para> - </listitem> - - <listitem> - <para>Einen Hostname, der innerhalb der Jail verwendet wird. - Jails werden vor allem dazu verwendet, Netzwerkdienste - anzubieten, daher ist es für Systemadministratoren - von großem Nutzen, dass jede Jail einen beschreibenden - Hostname haben kann.</para> - </listitem> - - <listitem> - <para>Eine <acronym>IP</acronym> Adresse, die der Jail - zugewiesen wird und nicht verändert werden kann, - solange das Jail läuft. Die IP-Adresse einer Jails - ist üblicherweise ein Adress-Alias auf eine - existierende Netzwerkschnittstelle. Dies ist jedoch - nicht zwingend erforderlich.</para> - </listitem> - - <listitem> - <para>Einen Befehl (genauer den Pfad einer ausführbaren - Datei) der innerhalb der Jail ausgeführt werden soll. - Dieser Pfad wird relativ zum root-Verzeichnis einer - Jail-Umgebung angegeben.</para> - </listitem> - </itemizedlist> - - <para>Unabhängig davon können Jails eine Reihe eigener - Benutzer und einen eigenen Benutzer <systemitem class="username">root</systemitem> - haben. Selbstverständlich sind die Rechte des Benutzers - <systemitem class="username">root</systemitem> nur auf die Jail-Umgebung - beschränkt. Aus der Sicht des Host-Systems ist der - Benutzer <systemitem class="username">root</systemitem> der Jail-Umgebung kein - allmächtiger Benutzer, da der Benutzer - <systemitem class="username">root</systemitem> der Jail-Umgebung nicht dazu - berechtigt ist, kritische Operationen am System ausserhalb der - angebundenen &man.jail.8;-Umgebung durchzuführen. - Weitere Informationen über die Einsatzmöglichkeiten - und Beschränkungen des Benutzers <systemitem class="username">root</systemitem> - werden im Abschnitt <xref linkend="jails-tuning"/> des - Handbuchs besprochen.</para> - </sect2> - </sect1> - <sect1 xml:id="jails-build"> <title>Einrichtung und Verwaltung von Jails</title> @@ -338,7 +293,8 @@ <para>Ist eine Jail einmal erst erstellt, kann sie durch &man.jail.8; gestartet werden. &man.jail.8; benötigt - zwingend mindestens vier Argumente, die im Abschnitt <xref linkend="jails-what"/> des Handbuchs beschrieben sind. Weitere + zwingend mindestens vier Argumente, die im Abschnitt <xref + linkend="jails-synopsis"/> des Handbuchs beschrieben sind. Weitere Argumente sind möglich, um beispielsweise die Jail mit den Berechtigungen eines bestimmten Benutzers laufen zu lassen. Das Argument <option><replaceable>command</replaceable></option> |