The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Аналог BSD Jail для Linux

15.09.2004 14:22

Serge Hallyn опубликовал патч, реализующий функциональность наподобие jail в FreeBSD, используя возможности LSM (Linux Security Modules) подсистемы в Linux (для 2.6.x ядер).

Процессы работающие в jail окружении, привязаны к определенному IP и не могут: выполнять операции монтирования, посылать сигналы внешним процессам, создавать устройства, подгружать модули ядра, управлять приоритетом выполнения, создавать raw-сокеты, использовать внешние IPC блоки и изменять настройки сетевой подсистемы. Для jail окружения создается отдельная, изолированная, иерархия /proc/. Кроме того, патчи поддерживают работу с IPv6.

Ниже, пример создания ssh кружения в jail:



1. modprobe bsdjail
  1.5 /sbin/ifconfig eth0:0 2.2.2.2;
  1.6 /sbin/route add -host 2.2.2.2 dev eth0:0    (optional)
2. Make sure the root filesystem (ie /dev/hdc5) is not mounted  anywhere else.
3. exec_private_namespace /bin/sh
4. mount /dev/hdc5 /opt
5. mount -t proc proc /opt/proc
6. echo -n "root /opt" > /proc/$$/attr/exec
    echo -n "ip 2.2.2.2" > /proc/$$/attr/exec (optional)
7. exec /bin/sh
8. sshd
9. exit



  1. Главная ссылка к новости (http://kerneltrap.org/node/vie...)
  2. jail.patch
  3. Документация прилагаемая к патчу.
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/4365-linux
Ключевые слова: linux, chroot, jail, kernel, module
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1, chucha (?), 19:48, 15/09/2004 [ответить]  
  • +/
    jail есть и в RSBAC
     
  • 2, Аноним (2), 16:52, 16/09/2004 [ответить]  
  • +/
    причем довно!
     
  • 3, Аноним (2), 15:09, 17/09/2004 [ответить]  
  • +/
    что-то не понял...чем это от chroot отличается?
     
  • 4, TaranTuL (?), 13:01, 18/09/2004 [ответить]  
  • +/
    последний аноним - ты совсем непонимающий?
     
  • 5, Алексей (??), 08:23, 19/09/2004 [ответить]  
  • +/
    Таких проектов как миниум 2 - vserver & freevps. Главное отличие от chroot виртуализация ресурсов..
    Этот патч и vserver страдают от неправильной реализации disk namespace, что прозволяет использовать штатные эксплойты против chroot. Но если vserver как то защищен от этого (guard inode), то в этом патче и этого нету.
    Не этот патч, не vserver не решают проблему уменьшения нагрузки при большом количестве сетевых соединений и не виртуализируют сетевой стек.
    и тппп :)
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру