Модели угроз... С одной стороны - угроза изнутри, у меня на сервере хостится несколько человек. На новом сервере я хочу каждому дать по jail'у, дабы не беспокоиться о правах, mpm-itk и т.п.. Соответственно угроза - дырка в какой нибудь MediaWiki или джумле, позволяющая овладеть локальным апачем/залить шелл/поиметь рута в джейле.
С другой стороны - снаружи. Опасаюсь использования какого-нибудь эксплоита, позволяющего овладеть каким-нибудь демоном.
Главная задача - ни в коем случае не допустить кого не надо к большущей NFS-шаре и почте.
Если это ответ не по теме - уточняйте. Я хоть и заканчивал "Вычислительные машины, комплексы и сети", но профессионально этим не занимаюсь.
А с NFS что делать? nfsd не может работать в джейле в принципе? Или просто нужно ядро с вкомпиленным всем, чем нужно.
Вообще - шанс того, что локальный недоверенный юзер, сидящий в джейле, вылезет наружу - велик?
И будет-ли ОК замутить на этой машине какой-нибудь Xen, а в нём - отдельную фряху для NFS?
Вторую машину дома поставить возможности нет, т.е. только разные сорта виртуализации.
Вариант ZFS ACL на то, что шарит NFS + NSF с Kerberos'ом + прикрытие NFS фаерволлом (доступ к NFS возможен только с строго определённых LAN'ных адресов) не поможет?
А ещё - скажите, как профессионал, что-нибудь о фаерволлах. Сейчас я использую ipf, но думаю переползти на pf (шейпинг, в первую очередь).
> NSD сажать в отдельный джейл или можно его вместе с веб-сервером в один посадить?
Особого смысла изолировать NSD нет. Поясню цитатой из раннего себя:
Смысл контейнеров: 1) не устраивать общую помойку из разных сервисов и библиотек, в которой непонятно, что к чему относится и что от чего зависит 2) убрать зависимость от аппаратного окружения, свести к минимуму от сетевого 3) изолировать уязвимые сервисы, особенно работающие из-под рута 4) не давать админам отдельных сервисов права админа для всей системы
Если ни одного из этих условий нет - контейнеры не нужны.
Главная проблема на сейчас (не считая отсутствие времени на то, чтобы возиться с сервером) - NFS. В джейле - не ОК, как я почитал, вот думаю на тему пустить на хост системе vs Xen.
Comments 23
высаживать демонов, работающих не из-под рута в джейлы не очень осмысленно
Собственно, я бы предложил начать с основ: какие модели угроз рассматриваем?
Reply
С другой стороны - снаружи. Опасаюсь использования какого-нибудь эксплоита, позволяющего овладеть каким-нибудь демоном.
Главная задача - ни в коем случае не допустить кого не надо к большущей NFS-шаре и почте.
Если это ответ не по теме - уточняйте. Я хоть и заканчивал "Вычислительные машины, комплексы и сети", но профессионально этим не занимаюсь.
Reply
При этом NFSу нужно слишком много внутриядерного, чтобы оно могло работать в джейле.
Джейлы для хостинга -- разумны, да. Сервис-джейлы -- зависит. Почту, наверное, разумно.
Reply
Вообще - шанс того, что локальный недоверенный юзер, сидящий в джейле, вылезет наружу - велик?
И будет-ли ОК замутить на этой машине какой-нибудь Xen, а в нём - отдельную фряху для NFS?
Вторую машину дома поставить возможности нет, т.е. только разные сорта виртуализации.
Вариант ZFS ACL на то, что шарит NFS + NSF с Kerberos'ом + прикрытие NFS фаерволлом (доступ к NFS возможен только с строго определённых LAN'ных адресов) не поможет?
А ещё - скажите, как профессионал, что-нибудь о фаерволлах. Сейчас я использую ipf, но думаю переползти на pf (шейпинг, в первую очередь).
Reply
Я бы сделал на openvz. Распихав все в отдельные контейнеры.
Reply
Reply
Особого смысла изолировать NSD нет. Поясню цитатой из раннего себя:
Смысл контейнеров:
1) не устраивать общую помойку из разных сервисов и библиотек, в которой непонятно, что к чему относится и что от чего зависит
2) убрать зависимость от аппаратного окружения, свести к минимуму от сетевого
3) изолировать уязвимые сервисы, особенно работающие из-под рута
4) не давать админам отдельных сервисов права админа для всей системы
Если ни одного из этих условий нет - контейнеры не нужны.
Reply
Главная проблема на сейчас (не считая отсутствие времени на то, чтобы возиться с сервером) - NFS. В джейле - не ОК, как я почитал, вот думаю на тему пустить на хост системе vs Xen.
Железо и специфика - вон там: http://ru-root.livejournal.com/2801133.html?thread=42257901#t42257901
Reply
Есть отличная альтернатива - CIFS.
Reply
Reply
Leave a comment