From owner-svn-doc-all@freebsd.org Fri Apr 8 17:49:40 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 96464B076B4; Fri, 8 Apr 2016 17:49:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 62891187B; Fri, 8 Apr 2016 17:49:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u38Hndhq008378; Fri, 8 Apr 2016 17:49:39 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u38HndPa008377; Fri, 8 Apr 2016 17:49:39 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201604081749.u38HndPa008377@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Fri, 8 Apr 2016 17:49:39 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48552 - head/de_DE.ISO8859-1/books/handbook/jails X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.21 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 08 Apr 2016 17:49:40 -0000 Author: bhd Date: Fri Apr 8 17:49:39 2016 New Revision: 48552 URL: https://svnweb.freebsd.org/changeset/doc/48552 Log: Update to r44513: Integrate later Introduction into the Synopsis of the Jails chapter. Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Fri Apr 8 17:27:52 2016 (r48551) +++ head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Fri Apr 8 17:49:39 2016 (r48552) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ - basiert auf: r44409 + basiert auf: r44513 --> Jails @@ -19,20 +19,92 @@ - jails Übersicht - Dieses Kapitel erklärt, was &os;-Jails sind und wie man sie - einsetzt. Jails, manchmal als Ersatz für - chroot-Umgebungen bezeichnet, sind ein sehr - mächtiges Werkzeug für Systemadministratoren, jedoch kann deren - grundlegende Verwendung auch für fortgeschrittene Anwender - nützlich sein. + Da die Systemadministration eine schwierige Aufgabe ist, + wurden viele Werkzeuge entwickelt, die Administratoren bei der + Installation, Konfiguration und Wartung ihrer Systeme + unterstützen sollen. Eines dieser Werkzeuge, die verwendet + werden können um die Sicherheit eines &os;-Systems zu + erhöhen, sind Jails. Jails sind seit + &os; 4.X verfügbar und werden ständig in ihrer + Nützlichkeit, Leistung, Zuverlässigkeit und Sicherheit + verbessert. + + Jails setzen auf dem &man.chroot.2;-Konzept auf, das dazu + verwendet wird das root-Verzeichnis einer Reihe von Prozessen + zu ändern, um so eine separate, sichere Umgebung zu schaffen. + Prozesse, die in einer chroot-Umgebung erstellt wurden, können + nicht auf Dateien oder Ressourcen zugreifen, die sich außerhalb + dieser Umgebung befinden. Dadurch ist es einem kompromittierten + Dienst nicht möglich, das gesamte System zu kompromittieren. + Im Laufe der Zeit wurden viele Wege gefunden, um aus einer + chroot-Umgebung auszubrechen, so dass es für die Sicherung von + Diensten nicht die ideale Lösung ist. + + Jails verbessern das traditionelle chroot-Konzept auf + unterschiedlichste Art und Weise. In einer traditionellen + chroot-Umgebung sind Prozesse auf den Bereich des Dateisystems + beschränkt, auf den sie zugreifen können. Der Rest der + Systemressourcen (wie zum Beispiel eine Reihe von + Systembenutzern, die laufenden Prozesse oder das + Netzwerk-Subsystem) teilen sich die chroot-Prozesse mit dem + Host-System. Jails erweitern dieses Modell nicht nur auf die + Virtualisierung des Zugriffs auf das Dateisystem, sondern auch + auf eine Reihe von Benutzern und das Netzwerk-Subsystem. Zudem + stehen weitere Möglichkeiten zur Verfügung, den Zugriff auf eine + Jail-Umgebung zu kontrollieren. + Eine Jail zeichnet sich durch folgende Merkmale + aus: + + + + Ein Unterverzeichnisbaum: dies ist der Ausgangspunkt der + Jail. Einem Prozess, der innerhalb der Jail läuft, ist es + nicht mehr möglich, aus diesem Unterverzeichnis + auszubrechen. + + + + Ein Hostname: dieser Name wird für die Jail + verwendet. + + + + Eine IP Adresse: diese Adresse wird + der Jail zugewiesen. Die IP-Adresse + einer Jails ist üblicherweise ein Adress-Alias auf eine + existierende Netzwerkschnittstelle. + + + + Ein Kommando: der Pfad einer ausführbaren Datei, die + innerhalb der Jail ausgeführt werden soll. Dieser Pfad wird + relativ zum root-Verzeichnis der Jail-Umgebung + angegeben. + + + + Jails haben einen eigenen Satz von Benutzern und ihren + eigenen root-Konto. Die Rechte + dieser Benutzer sind nur auf die Jail-Umgebung beschränkt. + Der Benutzer root + der Jail-Umgebung ist nicht dazu berechtigt, kritische + Operationen am System außerhalb der angebundenen + Jail-Umgebung durchzuführen. + + Dieses Kapitel erklärt, was &os;-Jails sind und wie sie + eingesetzt werden. Jails sind ein sehr mächtiges Werkzeug für + Administratoren, jedoch kann deren grundlegende Verwendung + auch für fortgeschrittene Anwender nützlich sein. + + Nachdem Sie dieses Kapitel gelesen haben, werden Sie @@ -67,26 +139,20 @@ - Weitere nützliche Informationen über Jails - sind beispielsweise in folgenden Quellen zu finden: - - - - Der &man.jail.8; Manualpage. Diese umfassende Referenz - beschreibt, wie man unter &os; eine Jail startet, anhält - und kontrolliert. - + + Jails sind ein mächtiges Werkzeug, aber sie sind kein + Sicherheits-"Allheilmittel". Es ist wichtig zu beachten, dass + es für einen Prozess in der Jail nicht möglich ist, von selbst + auszubrechen. Es gibt jedoch Möglichkeiten, in denen ein + unprivilegierter Benutzer außerhalb der Jail, mit einem + privilegierten Benutzer innerhalb der Jail kooperiert, und + somit erhöhte Rechte in der Host-Umgebung erlangt. - - Den Mailinglisten und deren Archive. Die Archive der - Mailingliste &a.questions; und anderen Mailinglisten, welche - vom &a.mailman.lists; bereitgestellt werden, beinhalten - bereits umfangreiche Informationen zu Jails. Daher ist es - sinnvoll, bei Problemen mit Jails zuerst die Archive der - Mailinglisten zu durchsuchen, bevor Sie eine neue Anfrage - auf der Mailingliste &a.questions.name; stellen. - - + Den meisten dieser Angriffe kann vorgebeugt werden, indem + sichergestellt wird, dass das Rootverzeichnis der Jail für + unprivilegierte Benutzer der Host-Umgebung nicht zugänglich + ist. + @@ -153,117 +219,6 @@ - - Einführung - - Da die Systemadministration oft eine schwierige Aufgabe ist, - wurden viele mächtige Werkzeuge entwickelt, die - Administratoren bei Installation, Konfiguration und Wartung ihrer - Systeme unterstützen sollen. Eine wichtige Aufgabe eines - Administrators ist es, Systeme so abzusichern, dass es im - regulären Betrieb zu keinen Sicherheitsverstößen - kommt. - - Eines der Werkzeuge, mit dem die Sicherheit eines &os;-Systems - verbessert werden kann, sind Jails. Jails wurden schon in - &os; 4.X von &a.phk.email; eingeführt, wurden jedoch mit - &os; 5.X stark verbessert, sodass sie inzwischen zu einem - mächtigen und flexiblen Subsystem herangereift sind. Trotzdem - geht die Entwicklung nach wie vor weiter. Wichtige Ziele sind - derzeit: Bessere Zweckmäßigkeit, Leistung, - Ausfallsicherheit und allgemeine Sicherheit. - - - Was ist eine Jail? - - BSD-ähnliche Betriebssysteme besitzen seit den Zeiten - von 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu - benutzt werden, das root-Verzeichnis einer Reihe von Prozessen - zu ändern, um so eine seperate sichere Umgebung (abgeschnitten - vom Rest des Systems) zu schaffen. Prozesse, die in einer - chroot-Umgebung erstellt wurden, können nicht auf Dateien - oder Ressourcen zugreifen, die sich ausserhalb der Umgebung - befinden. Dadurch ist es einem kompromittierten Dienst nicht - möglich, das gesamte System zu kompromittieren. - &man.chroot.8; eignet sich für einfache Aufgaben, die keine - flexiblen, komplexen oder fortgeschrittenen Funktionen - benötigen. Obwohl seit der Entwicklung des chroot-Konzepts - zahlreiche Sicherheitslöcher geschlossen wurden, die es - einem Prozess erlauben konnten, aus einer Jail auszubrechen, - war seit langer Zeit klar, dass &man.chroot.2; nicht die ideale - Lösung ist, einen Dienst sicher zu machen. - - Dies ist einer der Hauptgründe, warum - Jails entwickelt wurden. - - Jails setzen auf dem traditionellen &man.chroot.2;-Konzept - auf und verbessern es auf unterschiedlichste Art und Weise. In - einer traditionellen &man.chroot.2;-Umgebung sind Prozesse auf - den Bereich des Dateisystems beschränkt, auf den sie - zugreifen können. Der Rest der Systemressourcen (wie zum - Beispiel eine Reihe von Systembenutzern, die laufenden Prozesse - oder das Netzwerk-Subsystem) teilen sich die chroot-Prozesse mit - dem Host-System. Jails dehnen dieses Modell nicht nur auf die - Virtualisierung des Zugriffs auf das Dateisystem, sondern auch - auf eine Reihe von Benutzern, das Netzwerk-Subsystem des - &os;-Kernels und weitere Bereiche aus. Eine ausführlichere - Übersicht der ausgefeilten Bedienelemente zur Konfiguration - einer Jail-Umgebung finden Sie im Abschnitt des Handbuchs. - - Eine Jail zeichnet sich durch folgende Merkmale aus: - - - - Einen Unterverzeichnisbaum, der die Jail enthält. - Einem Prozess, der innerhalb der Jail läuft, ist es - nicht mehr möglich, aus diesem auszubrechen. Von - der traditionellen &man.chroot.2;-Umgebung bekannte - Sicherheitsprobleme existieren bei &os;-Jails nicht - mehr. - - - - Einen Hostname, der innerhalb der Jail verwendet wird. - Jails werden vor allem dazu verwendet, Netzwerkdienste - anzubieten, daher ist es für Systemadministratoren - von großem Nutzen, dass jede Jail einen beschreibenden - Hostname haben kann. - - - - Eine IP Adresse, die der Jail - zugewiesen wird und nicht verändert werden kann, - solange das Jail läuft. Die IP-Adresse einer Jails - ist üblicherweise ein Adress-Alias auf eine - existierende Netzwerkschnittstelle. Dies ist jedoch - nicht zwingend erforderlich. - - - - Einen Befehl (genauer den Pfad einer ausführbaren - Datei) der innerhalb der Jail ausgeführt werden soll. - Dieser Pfad wird relativ zum root-Verzeichnis einer - Jail-Umgebung angegeben. - - - - Unabhängig davon können Jails eine Reihe eigener - Benutzer und einen eigenen Benutzer root - haben. Selbstverständlich sind die Rechte des Benutzers - root nur auf die Jail-Umgebung - beschränkt. Aus der Sicht des Host-Systems ist der - Benutzer root der Jail-Umgebung kein - allmächtiger Benutzer, da der Benutzer - root der Jail-Umgebung nicht dazu - berechtigt ist, kritische Operationen am System ausserhalb der - angebundenen &man.jail.8;-Umgebung durchzuführen. - Weitere Informationen über die Einsatzmöglichkeiten - und Beschränkungen des Benutzers root - werden im Abschnitt des - Handbuchs besprochen. - - - Einrichtung und Verwaltung von Jails @@ -338,7 +293,8 @@ Ist eine Jail einmal erst erstellt, kann sie durch &man.jail.8; gestartet werden. &man.jail.8; benötigt - zwingend mindestens vier Argumente, die im Abschnitt des Handbuchs beschrieben sind. Weitere + zwingend mindestens vier Argumente, die im Abschnitt des Handbuchs beschrieben sind. Weitere Argumente sind möglich, um beispielsweise die Jail mit den Berechtigungen eines bestimmten Benutzers laufen zu lassen. Das Argument