Wie chrootet man JAVA?

[Hoeze]

Hi,
da Java nicht unbedingt das sicherste Programm der Welt ist wollte ich es in eine chroot Umgebung sperren.
Da ich weiter aber nicht unbedingt viel Ahnung von chroot besitze wollte ich mal fragen, ob jemand ein entsprechendes Tutorial kennt.

Konkret geht es darum, einen Minecraftserver einzusperren.
Theoretisch müsste ich doch dazu nur ein chroot Gefängnis erstellen, meinen Minecraft-Server draufpacken und dann die java-libs per mount als readonly einbinden.
Funktioniert das so?

 

[rob-]

Reicht da nicht einfach ein Account dem so ziemlich alle Befugnisse/Schreibrechte entzogen wurden?
Selbst wer dann per Exploit drauf kommt, kann nix tun

 

[PropHunt]

Ist die Lösung nicht einfach mit der Java-Paranoia aufzuhören und es bei Bedarf mit einem passenden Browser-Plugin per Klick zu erlauben?

 

[nickless_86]

Ist die Lösung nicht einfach mit der Java-Paranoia aufzuhören und es bei Bedarf mit einem passenden Browser-Plugin per Klick zu erlauben?

Ich glaube dass was du Meinst ist JavaScript und hat nichts zutun mit Java welches die Runtime benötigt. Zudem hat dies überhaupt nichts mit dem Thema zutun das der TE gestellt hat

 

[Moddie]

@rob-
Selbst das reicht haeufig nicht aus, siehe privilege escalation

 

[PropHunt]

Ich glaube dass was du Meinst ist JavaScript und hat nichts zutun mit Java welches die Runtime benötigt. Zudem hat dies überhaupt nichts mit dem Thema zutun das der TE gestellt hat

Nein, ich rede nicht von JavaScript, ich habe ja auch nicht "JavaScript" gesagt. Soviel zu "hat überhaupt nichts mit dem Thema zu tun".

 

[Hoeze]

Trotzdem hatte deine Antwort eher weniger mit meinem Problem zu tun - ein Webserver hat nur äußerst selten einen WebBROWSER

Um dich zu beruhigen, ich habe das Java Plugin in meinem Browser immer deaktiviert

 

[PropHunt]

Nichtsdestotrotz, Java hat ja durch das Browserplugin den Ruf, allerdings bezieht sich das auch nur auf das Browserplugin. Daher ist die Motivation für deine Frage eigentlich falsch und eine Lösung für das "Problem" unnötig.
Das gesagt, gibt es nachwievor noch das "mineOS", eine geschrumpfte Distribution die praktisch nur mit Minecraft daher kommt. Die als VM und da kann dir absolut nichts passieren.

 

[entropie88]

zb.:
http://wiki.gentoo.org/wiki/Jail && http://www.jmcresearch.com/projects/jail/


Aber ich hoffe dir ist klar das ein chroot nicht sicher ist. Er ist es erst wenn zb grsec (klick) läuft und man so dinge wie double-chroots ausgeschlossen hat.

 

[Hoeze]

Nichtsdestotrotz, Java hat ja durch das Browserplugin den Ruf, allerdings bezieht sich das auch nur auf das Browserplugin. Daher ist die Motivation für deine Frage eigentlich falsch und eine Lösung für das "Problem" unnötig.
Das gesagt, gibt es nachwievor noch das "mineOS", eine geschrumpfte Distribution die praktisch nur mit Minecraft daher kommt. Die als VM und da kann dir absolut nichts passieren.

Das wäre mein Traum, allerdings geht mir doch dann die Performance in den Keller, wenn ich eine VM innerhalb einer KVM-VM starte, oder?
Das würde ich eigentlich auch gerne mit meinem Apache tun...

zb.:
http://wiki.gentoo.org/wiki/Jail && http://www.jmcresearch.com/projects/jail/

Aber ich hoffe dir ist klar das ein chroot nicht sicher ist. Er ist es erst wenn zb grsec (klick) läuft und man so dinge wie double-chroots ausgeschlossen hat.

Das hört sich interessant an, danke. Laut wiki ist es doch eine Funktion von grsecurity, dass doppelte chroots ausgeschlossen werden, oder?
Gibt das irgendwelche Probleme, wenn ich damit den aktuellen Linux-Kernel patche und diesen dann auf meinem Debian 7 installiere?

 

[PropHunt]

Das kommt darauf an, notfalls testen bzgl. Performance. Wobei du ja einfach eine 2. VM starten könntest, wenn du doch schon in einer VM bist (also parallel und nicht "in Reihe", wenn ich das richtig verstehe).

 

[entropie88]

Das hört sich interessant an, danke. Laut wiki ist es doch eine Funktion von grsecurity, dass doppelte chroots ausgeschlossen werden, oder?

Ja und sogar mehr, Du bekommst unter Security eine neues Submenu mit allen Funktionen.

Gibt das irgendwelche Probleme, wenn ich damit den aktuellen Linux-Kernel patche und diesen dann auf meinem Debian 7 installiere?

Normalerweiße nicht wenn du alle Funktionen ausmachst die inkompatibel sind. PaX würde ich auf Debian auslassen da nicht genug Hardening Flags in den Binaries sind, RBAC würde ich ebenfalls auslassen wenn ein MAC dann NSA SELinux.

 

[Hoeze]

Mein Problem ist, dass ich einen vServer auf KVM-Basis benutze.
Mein Traum wäre natürlich ein richtiger Server bei mir zu Hause, allerdings hätte ich dann nur 1% des Uploads, den ich von einem Serveranbieter bekomme.

Nach einiger Recherche werd ich wohl einfach mal LXC ausprobieren - wenn das performant läuft und sicher ist könnte das bald meine Lieblingsanwendung werden