Quelques Détails Techniques

difficulthopefulΛογισμικό & κατασκευή λογ/κού

2 Ιουλ 2012 (πριν από 5 χρόνια και 22 μέρες)

701 εμφανίσεις

FreeBSD: The Power To Serve
Quelques Détails Techniques
L'implémentation de Jails n'est pas restreinte à l'environne
-
ment utilisateur mais elle fait partie intégralement du noyau.
Un Jail nécessite approximativement 140 Mo d'espace

disque, mais cela peut être plus, tout dépend de ce que vous

mettez dedans. D'un autre coté, vous pouvez le réduire pour

ne laisser que ce dont vous avez besoin pour exécuter le ser
-
vice emprisonné.
D'un point de vue d'administrateur, un Jail est géré comme

n'importe quel autre système. Vous pouvez vous y connecter

via SSH. Du point de vue du système hôte, un Jail n'est qu'un

répertoire avec une installation minimale de FreeBSD.
Répertoire pour lequel vous avez accès depuis le système

hôte. Pour travailler avec un Jail, vous n'avez pas besoin de

vous connecter dessus. Avec 'jexec', vous pouvez démarrer

ou arrêter des démons ou des programmes, simplement sur
-
veiller les processus s'exécutant ou savoir quel utilisateur est

connecté.
Au niveau du système hôte, chaque processus emprisonné est

marqué avec un 'J'. De cette façon, vous pouvez immédiate
-
ment identifier un processus s'exécutant dans un Jail sur le

système.
Un Jail est sujet à certaines restrictions que vous pouvez in
-
fluencer via les rc.conf(5) et sysctl(8) du système hôte.
Par défaut, les raw sockets (i.e. pour ping et traceroute) ne

sont pas autorisés, ceci peut être cependant changé tout

comme le fait de pouvoir changer le nom d'hôte depuis le

Jail.
L'une des plus grosses restrictions de Jails est qu'une seule

adresse IP est autorisée par Jail et cette adresse doit être posi
-
tionnée avec un masque de sous-réseaux en '/32'.
Beaucoup d'améliorations sont prévues prochainement : le

support d’IPV6, plus d’une IP par jail et la limitation des

ressources.
La sortie de la version 8 de FreeBSD a permis l'ajout de

nombreuses nouvelles fonctionnalités. L'une d'elles est qu'un

Jail peut désormais n'être lié qu'à un seul processeur. On peut

également donner un nom à un Jail différent de son nom

d'hôte. Le support de l'Ipv6 sera aussi amélioré et SCTP a été

implémenté.
Une caractéristique très intéressante est que des Jails 32 bits

tout comme ceux de 64 bits peuvent coexister sur une ma
-
chine 64 bits.

Exemples d'utilisation
Les petites et moyennes entreprises ont besoin de serveurs de

bon rapport qualité-prix et sécurisés. Faire tourner des ser
-
vices comme HTTP, Mail et DNS sur différentes

machines est très coûteux. Grâce aux Jails, vous

n'aurez qu'à acheter une seule bonne machine et

faire tourner chaque service dans son propre Jail.

Vous économiserez ainsi en matériel, maintenance,

puissance et refroidissement.
Faire fonctionner des bases de données dans un en
-
vironnement sécurisé est très facile grâce aux Jails.

L'administrateur installe un frontend web dans un

Jail et la base dans un autre Jail. De cette façon, les

deux services sont séparés et la compromission de

l'un n'affecte pas l'autre.
Les Jails rendent aussi les tests de services réseaux

très simples et peu coûteux. Installer un service

dans un Jail et supprimez-le ou gardez-le quand le

test est fini.
Plus d'information
Avec ce bref aperçu, nous espérons vous avoir montré com
-
ment les Jails de FreeBSD peuvent aussi travailler pour vous.
Wikipedia a aussi un article sur Jail :
http://en.wikipedia.org/wiki/FreeBSD_jail
Le manuel de Jail est très important :
man jail
The excellent FreeBSD handbook has a jail chapter:
http://www.FreeBSD.org/doc/fr_FR.ISO8859-1/books/hand
-
book/jails.html
Si vous êtes d'avantage intéressés par les fonctionnalités de

sécurité de FreeBSD, consultez aussi le dépliant:
http://www.bsdfrance.fr/downloads/flyers/flyer-fr-fbsd-secu
-
rity.pdf
Des informations plus générales sur FreeBSD peuvent être

trouvées ici:
http://www.freebsd.org/doc/fr/books/handbook/book.html
FreeBSD
Jails
© 2005-2007 allBSD.de Projekt – écrit par Axel S. Gruner, traduit par Cédric Gross et Anne-Gaëlle Lunot.
Le démon BSD est copyright Marshall McKusick. La marque FreeBSD et le logo FreeBSD sont enregistré par The FreeBSD Foundation et sont utilisés par allBSD avec la permission de The FreeBSD Foundation. Valide à partir du

02.05.2009
FreeBSD Jails - Francais
Qu'est ce que Jails ?
Vous pouvez décrire un Jail (prison) comme un «

«FreeBSD

à l'interieur d'un FreeBSD

». Un Jail est beaucoup plus qu'un

environnement chrooté.
Il s'agit d'un système FreeBSD totalement indépendant, dans

un système FreeBSD avec une restriction au niveau de ses

processus et de ses processus enfants. Les processus au sein

d'un Jail ne peuvent pas accéder aux processus du système

hôte.
Le matériel n'est pas émulé comme pour VMWARE. Il n'y a

pas non plus de noyau spécial comme pour XEN. Un Jail

partage les ressources avec le système hôte sans l'affecter si

un changement se produit au sein du Jail. C'est la raison des

performances supérieure de Jail comparé aux autres tech
-
niques de virtualisation, tout particulièrement lorsque plu
-
sieurs instances virtuelles s'exécutent en même temps.
Les Jails
font partie de ce qu'on appelle
des «

bacs à sable

».
Aussi loin qu'un administrateur système pourra aller dans un

jail, il n'y verra qu'un système FreeBSD complet pouvant

être administré comme tout autre système FreeBSD.
Le Jail de FreeBSD dépend du système de base et peut ac
-
croître la sécurité de votre système de façon significative.

Vous pouvez aussi bien emprisonner un seul processus qu'un

système tout entier car un jail est identique à un système

FreeBSD normal, ce qui signifie que vous pouvez y installer

les mêmes logiciels.
Processus Serveur dans un Jail
Les processus démons tels que DNS, HTTP, SMTP, POP3,

IMAP, FTP et beaucoup d'autres, ont des vulnérabilités qu'un

pirate peut exploiter pour obtenir l'accès à un système. Même

en appliquant scrupuleusement les mises à jour de sécurité et

en plaçant un système derrière un pare-feu, le risque de
-
meure. Pour minimiser le risque, il est conseillé de bloquer

un démon dans un Jail.
Vous pouvez aussi bien mettre tous les démon dans un seul

Jail ou chaque démon dans un jail différent, c'est à vous de

décider. Même si un jail est pénétré, votre système hôte reste

intact.
La sécurité au travers de Jails
Quand (et si) un intrus pénètre un système, vous ne pouvez

pas être certain que seul le logiciel ayant servi de point d'en
-
trée a été exploité. Peut-être qu'une backdoor a été installée.

Peut-être aussi que de subtiles erreurs et des mauvaises

configurations ont été introduites. Quel est le temps d'arrêt à

planifier après une pénétration réussie ? Le temps c'est de

l'argent et avec Jail vous pouvez économiser beaucoup des

deux. Quand votre serveur web est compromis, vous n'avez

pas à passer du temps sur une autopsie de votre système. Ar
-
rêtez le Jail, supprimez-le et restaurez la sauve
-
garde du Jail. Ceci ne devrait pas prendre plus

d'une minute. Et vous pourrez tout à loisir analyser

comment votre serveur a été compromis.
Comme vous pouvez le constater, accoudée à l'uti
-
lisation d'un bon système d'exploitation, d'un pare-
feu, d'un IDS et à d'autres techniques sécuritaires,

l'utilisation des Jails peut réellement vous aider à

maintenir une haute disponibilité de service.
Votre serveur comme Fort Knox
1

On peut dire en toute sécurité que rien n'est sûr,

même si les différents fabricants de pare-feu vous

disent le contraire. Les pare-feu sont la première

barrière, les systèmes d'exploitation en tant que tels

sont la deuxième, Jail forme la troisième barrière et

si vous utilisez les drapeaux de sécurité vous pou
-
vez même obtenir un coffre-fort sans porte.
C'est déjà bien assez pénible quand un intrus com
-
promet un système et rend tout ce qu'il y a dedans

indigne de confiance; m
ais qu'est-ce que ça fait si

un intrus obtient les droits root à l'intérieur d'une

Jail ?
Hé bien, le système hôte demeure sécurisé, mais

vous pouvez cependant continuer à durcir votre

système en utilisant les drapeaux de sécurité et les

Securelevels. L'utilisation des Securelevels vous

permet d'empêcher les modifications des règles de

filtrage, le chargement des modules, l'écriture sur

les disques, etc .
Plus d'informations sur les drapeaux de sécurité et

les niveaux de sécurité peuvent être trouvé dans le

dépliant approprié (BSD Security).
La valeur ajoutée des Jails
Clairement, un Jail est utilisé principalement pour

des raisons de sécurité. Mais il y a aussi d'autres

avantages :

Vous pouvez exécuter plusieurs serveurs

virtuels avec différents démons sur une

seule machine physique. Vous pouvez

faire tourner toute une DMZ basée sur

des Jails, sur un seul serveur physique.

Les services serveur sont souvent com
-
plexes et requièrent une maintenance ré
-
gulière. Ils sont souvent administrés par différents

administrateurs. Soit ils ont tous les privilèges root,

soit vous avez besoin d'une très bonne configura
-
tion sudo.Les deux méthodes ont leurs inconvé
-
nients. Mais avec les jails, vous pouvez donner

tous les droits à chaque administrateur pour gérer

son service dans son propre jail. Ceci évitant
ainsi

de multiples comptes root qui ne sont ni surveillés

ni loggués

Vous avez besoin d'un environnement de test pour

vos développeurs ? Pourquoi installer un serveur

tout entier, incluant son propre matériel, seulement

pour ça. Installez simplement un Jail pour vos dé
-
veloppeurs dans lequel ils auront leur propres ac
-
cès privilégiés sans risquer de compromettre le

système hôte.

Si vous voulez offrir à vos clients des accès root-
Shell, vous pouvez le faire de façon sécurisée avec

Jail. Vous n'avez pas besoins d'acheter du nouveau

matériel et vous pouvez automatiser facilement la

création de Jail.

Si vous êtes enseignant, vous pouvez donner à

chaque étudiant son propre serveur dans un Jail. Ils

pourront avoir un accès de super-utilisateur et faire

tout ce que vous autorisez. Quand le cours est ter
-
miné, pas besoin de tout réinstaller, effacez simple
-
ment les Jails.

Une application intéressante est de séparer une

base de données de son interface utilisateur en met
-
tant la DB et l'application X-Windows chacune

dans sa propre prison.


Comme vous venez juste de le voir, les Jails sont

de toute évidence un moyen abordable et facile à

plus de sécurité, plus de contrôle, des coûts

moindres et une utilisation plus efficace du maté
-
riel disponible.


1 – NDT : Réserve d'or fédérale américaine et
importante garnison militaire.
© 2005-2007 allBSD.de Projekt – écrit par Axel S. Gruner, traduit par Cédric Gross et Anne-Gaëlle Lunot.
Le démon BSD est copyright Marshall McKusick. La marque FreeBSD et le logo FreeBSD sont enregistré par The FreeBSD Foundation et sont utilisés par allBSD avec la permission de The FreeBSD Foundation. Valide à partir du

02.05.2009