The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.09.2004 14:22  Аналог BSD Jail для Linux

Serge Hallyn опубликовал патч, реализующий функциональность наподобие jail в FreeBSD, используя возможности LSM (Linux Security Modules) подсистемы в Linux (для 2.6.x ядер).

Процессы работающие в jail окружении, привязаны к определенному IP и не могут: выполнять операции монтирования, посылать сигналы внешним процессам, создавать устройства, подгружать модули ядра, управлять приоритетом выполнения, создавать raw-сокеты, использовать внешние IPC блоки и изменять настройки сетевой подсистемы. Для jail окружения создается отдельная, изолированная, иерархия /proc/. Кроме того, патчи поддерживают работу с IPv6.

Ниже, пример создания ssh кружения в jail:



1. modprobe bsdjail
  1.5 /sbin/ifconfig eth0:0 2.2.2.2;
  1.6 /sbin/route add -host 2.2.2.2 dev eth0:0    (optional)
2. Make sure the root filesystem (ie /dev/hdc5) is not mounted  anywhere else.
3. exec_private_namespace /bin/sh
4. mount /dev/hdc5 /opt
5. mount -t proc proc /opt/proc
6. echo -n "root /opt" > /proc/$$/attr/exec
    echo -n "ip 2.2.2.2" > /proc/$$/attr/exec (optional)
7. exec /bin/sh
8. sshd
9. exit



  1. Главная ссылка к новости (http://kerneltrap.org/node/vie...)
  2. jail.patch
  3. Документация прилагаемая к патчу.
Лицензия: CC-BY
Тип: Интересно / Выше среднего
Ключевые слова: linux, chroot, jail, kernel, module
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение RSS
 
  • 1, chucha, 19:48, 15/09/2004 [ответить] [смотреть все]
  • +/
    jail есть и в RSBAC
     
  • 2, Аноним, 16:52, 16/09/2004 [ответить] [смотреть все]
  • +/
    причем довно!
     
  • 3, Аноним, 15:09, 17/09/2004 [ответить] [смотреть все]
  • +/
    что-то не понял...чем это от chroot отличается?
     
  • 4, TaranTuL, 13:01, 18/09/2004 [ответить] [смотреть все]
  • +/
    последний аноним - ты совсем непонимающий?
     
  • 5, Алексей, 08:23, 19/09/2004 [ответить] [смотреть все]
  • +/
    Таких проектов как миниум 2 - vserver & freevps. Главное отличие от chroot виртуализация ресурсов..
    Этот патч и vserver страдают от неправильной реализации disk namespace, что прозволяет использовать штатные эксплойты против chroot. Но если vserver как то защищен от этого (guard inode), то в этом патче и этого нету.
    Не этот патч, не vserver не решают проблему уменьшения нагрузки при большом количестве сетевых соединений и не виртуализируют сетевой стек.
    и тппп :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor