[FreeBSD] Jail kerdes

Adam Szilveszter sziszi at bsd.hu
2001. Már. 24., Szo, 16:54:42 CET 

Hali!

On Sat, Mar 24, 2001 at 03:30:45PM -0000, Ágoston wrote:
> Azon gondolkodom egyfolytaban, mikor a jail() szoba kerul, hogy miben
> tud ez tobbet, mint a chroot? Mert mit is csinal a dolog tulajdonkeppen?
> Ahogy egy elozo levelben volt leirva, es a chroot()-ot is mindig igy
> intezte az emberfia, ldd-vel megnezed, hogy mi kell a program
> mukodesehez, azokat bemasolod az adott particiora (legalabbis en minden
> chroot-ot kulon partira tettem mindig). Bemasolja az ember a konfig meg
> egyeb szukseges fileokat is plusszba es az inditoszkriptben erre
> hivatkozik. Aztan ennyi. Ha root jogosultsag van, akkor sanyi, mert ki
> lehet torni a jailbol. Igazabol valami olyasmire vagynek, mint ami linux
> alatt letezik mar, hogy le lehet szedni a CAP_SYS_CHROOT -ot dinamikusan
> az alkalmazasrol. Szoval eliditom, majd ahogy elindul egy megfelelo
> API-n keresztul leszedem rola ezt a capability-t. Van valamilyen
> capabilities kiegeszites BSD ala ? Talan a TrustedBSD tud ilyet?
> Udv,
> Ago

Na azert ennyire nem egyszeru a dolog. Ha meg nem tetted meg, olvasd el PHK
papirjat a temarol:

/usr/src/share/doc/papers/jail{ascii.gz|.ps}

vagy ha nincs FreeBSD-s geped keznel en szivesen elkuldom neked.

A jail azert tobbet tud, mint a chroot(). Az, hogy bizonyos esetekben ki
lehet belole torni igaz, de azert a multkori "baleset" mutatta, hogy meg a
capabilities modell sem tokeletes. Elmeletileg mindketto jo, de a
megvalositas nagyon nem mindegy. 

Egyebkent ha igaz, 5.0-ra (ami jo egy ev mulva varhato) mar lesz valmifele
capabilities-hez hasonlo support. Igen, a TrustedBSD projekttol jon... BTW
a TrustedBSD nem egy BSD verzio, csak egy projekt ami biztonsagi
korszerusiteseken dolgozik de aztan az eredmenyeket szepen visszataplaljak
a -CURRENT forrasaba idonkent. (mint pl nemregen. De ne, ezert ne kezdjen
el senki -CURRENT-re frissiteni, csak egy library API-rol van szo...)

Udv:
Sz. 
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *

További információk a(z) BSD levelezőlistáról