Jail Chroot?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

poznat mi je chroot enviroment ali jel moze neki vishe da mi kaze o Jail-u?
takodje me zanima jel moguce poterati i neki X,desktop enviroment,networking ili neki drugi app dok se nalazish u jail bez montiranja /dev u chroot enviroment..dakle samostalan system u systemu?

prilichno korisna stvar ako je moguce ovo shto pitam..

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ako pitas za Jail koji je implementiran u FreeBSD-u onda ovako: Jail predstavlja virtuelno okruzenje koje radi na host sistemu sa svojim procesima, korisnicima i root nalogom. Procesi unutar Jail-a su nezavisni, ako npr pokrenes ps komandu ona ce prikazati samo procese unutar Jail-a.
Posto je virtualna masina u stvari sistem u sistemu, u samom Jail-u se moze implementirati vise restrikcionih mera, u odnosu recimo na koriscenje chroot-a da bi se nekoj aplikaciji ogranicio pristup ostalim delovima sistema, tako da je prakticno izlazak iz Jail-a neizvodljiv. Sta ovo znaci za zigurnost? Ako npr imate pokrenut www server unutar Jail-a i cak i da napadac nekako uspe da dobije root nalog, nece moci da ugrozi pravi sistem jer nemoze da izadje iz Jail-a. Jos neke restrikcije u Jail-u:

* Modifikovanje mrezne konfguracije, IP adresa i ruting tabela nije dozvoljeno.
* Jail moze imati samo jednu IP adresu.
* Modifikovanje vecine sysctls varijabli kao i menjanje securelevel-a nije dozvoljeno
* Modifikovanje kernela direktnim pristupom i ucitavanje modula nije dozvoljeno
* Pravila za zastitni zid se nemogu menjati
* Mountovanje i unmountovanje fajl sistema nije dozvoljeno
* Jail nemoze pristupiti direktorijumima iznad svog root direktorijuma (chroot)
* Kreiranje novih uredjaja nije dozvoljeno (dev nodes) itd.

Posto ovakav nacin virtualizacije koristi isti sistemski kernel ovo predstavlja samo malo opterecenje za sistem i bukvalno se mogu pokrenuti stotine virtualnih masina. Mozete cak i da se jednostavno povezete na vas Jail sa host masine koristeci OpenSSH ako zelite.... Za kraj treba reci da postoje "fat" i "thin" Jails, fat Jail je bukvalno ceo operativni sistem, dok u thin Jail-u mozete ukljuciti samo one stvari koje su neophodne i one koje zelite da pokrenete.
Naravno sve ovo ima i negativne strane, za vise informacija evo par linkova:

Jails: Confining the omnipotent root
[Link mogu videti samo ulogovani korisnici]

FreeBSD jail
[Link mogu videti samo ulogovani korisnici]

The Jail Subsystem
[Link mogu videti samo ulogovani korisnici]

FreeBSD jails
[Link mogu videti samo ulogovani korisnici]

Creating a FreeBSD Jail
[Link mogu videti samo ulogovani korisnici]

Operating system-level virtualization
[Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

odlichno,ali mislio sam na linux jail

Dopuna: 28 Feb 2007 14:08

LOL 1000-ti post

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Za Linux neznam, neznam ni dali postoji, bilo bi lepo kada bi neko objasnio, i mene bi zanimalo (a da nije chroot).

Happy 1000!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja sam se malo raspitivao oko jaila za Linux kada sam dizao FTP server na kucnom racunaru.
Skontao sam da mi Jail nije potreban zbog FTP-a, tj. da je chroot dovoljan.
Jail je potreban kod telneta, da bi korisnik mogao da pristupi nekim osnovnim komandama.
Znaci, Jail na Linuxu sluzi da korisniku omogucis komande i programe (bash, ls itd).
Znam da sam naisao na dva detaljna uputstva, probacu da ih odgooglam ponovo.

Dopuna: 28 Feb 2007 22:25

[Link mogu videti samo ulogovani korisnici]
[Link mogu videti samo ulogovani korisnici]
[Link mogu videti samo ulogovani korisnici]
[Link mogu videti samo ulogovani korisnici]

Najbitnije, nemoj korisniku koji je u jailu da dozvolis kompajler, inace jail pada za par minuta