Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

DHCP und Mail in der Jail

Es ist möglich, einen DHCP-Server [10] in einer Jail zu betreiben. Dazu muss der Port ISC-DHCP3-SERVER aus dem Verzeichnis »/usr/ports/net/isc-dhcp3-server« so kompiliert werden:

# make install -DDHCP_PARANOIA
  -DDHCP_JAIL -DDHCP_SOCKETS
# make clean

In der Jail wird in die Systemkonfiguration »/etc/rc.conf« eingetragen, was Listing 3 zeigt.

Listing 3

DHCP-Konfiuration

 

Die Konfigurationsdatei »/usr/local/etc/dhcpd.conf« des DHCP-Daemons muss durch diese Zeile ergänzt werden:

local-address IP-Adresse Jail;

Auf dem Hostsystem aktiviert man im Kernel den Treiber für das Berkeley Packet Filter (»bpf« ). Zusätzlich ist das Regelwerk für den devfs-Daemon im Abschnitt [devfsrules_jail=4] um diesen Eintrag zu erweitern: »add path 'bpf*' unhide« .

Die HTTP-Dienste Apache oder Lighttp müssen ebenfalls an eine Adresse gebunden werden. Der Eintrag in »httpd.conf« lautet wie folgt: »Listen <IP-Adresse der Jail>:80«

Man kann auch einen Mail-Server innerhalb einer Jail installieren. Die Anpassung ist aber umfangreicher, als bei den vorangegangenen Beispielen. An einem Mail-Server mit Postfix-MTA [11] mit Spam-Filter und Viren-Scanner soll die Vorgehensweise beschrieben werden.

In den Konfigurationsdateien von Postfix »/usr/local/etc/postfix/main.cf« und »/usr/local/etc/postfix/master.cf« ist die IP-Adresse des localhost durch die IP-Adresse der Jail zu ersetzen. Selbstredend muss auch der Hostname »localhost« gegen den Hostnamen der Jail getauscht werden, sofern die Jail nicht die IP-Adresse des Localhost verwendet. Das Gleiche gilt für die Konfiguration des Spam-Filters und des Viren-Scanners. Damit nun auf dem Hostsystem E-Mails vom System weiterhin verschickt werden, muss der DNS-Dienst im Netzwerk einen sogenannten MX-Record enthalten.

Alle Jails auf einem Host

Es ist natürlich möglich und für kleine Firmen und Heim-Netzwerke interessant, alle Dienste jeweils in einer Jail auf einem Hostsystem zu installieren. Abbildung zwei verdeutlicht die Konfiguration.

Oftmals liest man in diversen Foren, dass es Administratoren gibt, die einen Datenbankserver in einer Jail installieren. Das sollte man unterlassen, da einige Datenbanksysteme über System-V-IPC kommunizieren beziehungsweise die Daten in einer Datenbank besonders geschützt sein sollten. Daher installiert man das Datenbanksystem auf dem Host und kommuniziert über eine IP-Adresse mit der Datenbank. Ähnliches gilt auch für Datenbank-Server, die über ein Web-Interface, administriert werden. Es gelten dabei besondere Sicherheitsvorkehrungen. Der WWW-Dienst sollte hierbei unbedingt in einer Jail laufen, damit im Falle einer ausgenutzten Schwachstelle im Daemon-Prozess nicht der gesamte Datenbestand der Datenbank auf dem Spiel steht. Abbildung drei zeigt eine solche Konfiguration.

Dienste, die auf dem RPC-Protokoll basieren, lassen sich in einer Jail nicht betreiben. Dies trifft insbesondere auf NIS (Network Information Service) zu. Falls eine Benutzerverwaltung innerhalb einer Jail unbedingt erwünscht ist, dann muss der Systemadministrator entweder die »/etc/passwd« des Hostsystems in die Jail kopieren, oder aber er muss LDAP aufsetzen. Die Vorgehensweise bei LDAP ist die gleiche, wie bei der Installation auf einem Client-System. Zu beachten ist allerdings, dass in einer Jail keine User-IDs verwendet werden sollten, die auch auf dem Host angelegt sind. Der Grund ist einfach: Falls auf dem Host ein SSH-Dienst läuft, und sofern ein Benutzerkonto gehackt wurde, hat es der Angreifer leicht, sich auch auf dem Hostsystem einzuloggen und Schaden anzurichten.

Daher gilt, dass man so wenig wie möglich Benutzerkonten einrichtet und gleiche Benutzernamen vermeidet. Bei Systemkonten und dem Root-User lässt sich das nicht vermeiden. In diesem Zusammenhang ist es außerordentlich wichtig, dass die Passwörter des Root-Users auf dem Host und in der Jail unterschiedlich sind!

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019