c't server (debian,UML, ipcop) auch mit gentoo machbar?

[d-fens]

Hi,

ich fand seit langer zeit den c't heimserver für ne typische dsl-router installation ganz gelungen (vier user mode linux installationen, getrennte firewall , echte dmz, wlan unterstützung, sonstiger schnickschnack wie samba,shaper etc), und da ich eh schon länger die redhatbox umstellen will ist nun dir frage: geht das auch mit gentoo? also problematisch ist wohl am ehesten die uml installation stabil zu kriegen; gibt es vielleicht schon ne gentoo livecd /minidistro für den zweck?
dankeschön

halbtoller link klicken

[jannis]

Naja, es gibt das "Gentoo router howto", das das eigentlich sehr genau beschreibt:

[EN]: http://www.gentoo.org/doc/en/home-router-howto.xml,
[DE]: http://www.gentoo.org/doc/de/home-router-howto.xml

[d-fens]

ja der eigentlich witz ist ja das uml/ipcop plus passende kernelpatches wohl, hat das jemand am laufen?

[jannis]

für was soll das genau gut sein? uml is doch, dass du linux als gast-os in nem anderen OS laufen lässt oder?
und kernelpatchen is ja nich soo der aufwand

[Decker]

[Squiddle]

Und der grund für die Verwendung von UML ist:
ein System, ein Service

hat sicherheits- und updatetechnisch unheimlich viele Vorteile.

Ist der Service kompromittiert, löschst dieses eine System nimmst den Klon von einem netzwerklosen bzw geschützten System und schließt die Sicherheitslücke. Dann geht der Klon auf das Produktivsystem (also der Router).
_________________
"Unerhört schnelle Systeme begehen unerhört schnell Fehler." -- Stanislaw Lem

[z4Rilla]

ist das von der performance her vertretbar wenn man zb einen schwächeren rechner als router nutzt ?

[d-fens]

joa, wenn jetzt mal die grundlagen geklärt sind, wie wärs mit n paar antworten die etwas direkter mit der eigentlichen frage zu tun haben...

[Haldir]

Hehe den direkten Zusammenhang kannst du relativ einfach aus allen Antworten rauslesen, bzw. was in keiner Antwort steht:

Wenn es eine LiveCD von Gentoo mit den geforderten Funktionen gäbe, hätte es dir schon einer gesagt

Ansonsten kannst du das natürlich auch machen, ist aber sicher aufwändiger als nur den c't Heimserver zu installieren...

[new_nOOb]

hmm wird dann sicher wohl nie ne möglichkeit geben das einfach per emerge ipcop zu erledigen ? :/

[Sandro]

Ich war von der Idee, eine ipcop uml aufzusetzen, auch ziemlich angetan... wobei ich gerne Gentoo als Gastsystem behalten würde.

Ich habe nun versucht, das ipcop .deb von der c't-CD an mein Gentoo anzupassen. Also alles entpackt und die Aktionen der preinst/postinst Skripte des .debs ausgeführt...
Funktionierte soweit alles ganz gut, allerdings scheitert bei mir noch das Ausführen des eigentlichen UML-Systems:

[ank666]

Sieht fast so aus, als ob der Skas Patch im Kernel fehlen würde, oder?
_________________
Auf der Verpackung stand benötigt Windows 9x/2000/XP oder BESSER, deshalb hab ich Linux installiert

[new_nOOb]

hmm das is ja gut das sich da jemand ranmacht mein wissen reicht da bei weitem nicht aus aber die ct version sah unter vmware gut aus und unter gentoo auf dem "server" wäre es ja ein traum

[slick]

Also ich hatte mal ein wenig mit den UMLs rumprobiert.

Letzter Stand ist folgender: Man nehme den vanilla-2.6.10 und patche den mit http://www.user-mode-linux.org/~blaisorblade/patches/skas3-2.6/host-skas3-2.6.10-v7.patch
für SKAS, dann emerge man die usermode-sources und erzeuge den UML-Kernel gemäß http://www.gentoo.org/doc/en/uml.xml .

Das UML-System lief sehr stabil, allerdings hatte es einen Harken, es lies sich nicht sauber stoppen, siehe wie http://sourceforge.net/mailarchive/message.php?msg_id=10418134 . Ich habs dann aufgegeben, Lösung wäre meines Erachtens evt. ein Umstieg auf ältere Kernel was allerdings (bei mir) Stabilitätsprobleme macht.

Hat wer evt. ähnliche Probleme gehabt? Wenn ja wie gelöst?

Initscript siehe: https://forums.gentoo.org/viewtopic.php?t=234393

[ank666]

[slick]

D.h. wenn ich den 2.4.27 mit dem dazugehöreigen SKAS-Patch nehme und die aktuellen uml-sources habe ich ein stabiles System (welches sich auch stoppen läßt) ? Kann das jemand bestätigen?

Gibt es eigentlich eine komfortable Möglichkeit den SKAS in die gentoo-sources zu bekommen oder ist das prinzipiell unmöglich?

[Macumba]

http://www.heise.de/ct/ftp/projekte/srv/buglist.shtml
gibt aufschluss:

[Sandro]

Mein aktueller Stand ist der, dass ich die ipcop UML unter Vanilla-Kernel 2.4.28 mit skas3-Patch am laufen habe (macht eigentlich einen relativ stabilen Eindruck).
Die Verbindung zum LAN steht nun auch, nachdem ich mir quasi die ganze Nacht mit dem ethernet bridging um die Ohren geschlagen habe...

Das Einrichten von T-DSL ist mir noch nicht gelungen, sieht mir auch noch nach bridging-Problemen aus...

[d-fens]

Hey Sandro, wenn alles mal geklappt hat, isn kleines howto fällig ...

[Sandro]

Fein, fein, es läuft...

Hier und da muss ich noch an dem Init-Skript-Ablauf feilen, dann ließe sich über ein (knappes) HowTo schon reden.

[TheSmallOne]

-–- gelöscht -–-

[ZX-81]

Ich habe die Variante mit UML auch vor einigen Monaten erwogen, um mir ein paar "Stromfresser" vom Hals zu schaffen. Ich dachte daran, die Firewall, den Internet- und den Intranetserver auf einer Maschine laufen zu lassen (Das dürfte ziemlich analog dem c't Projekt sein).

Inzwischen bin ich mir nicht mehr so sicher, ob das eine wirklich gute Idee wäre. Sollte ein Angreifer den Internetserver in seine Gewalt bekommen (Remote Exploit in Verbindung mit Local Root Exploit), hätte er damit auch Userrechte auf dem UML Wirtssystem. Möglicherweise kann er dann mit demselben Local Root Exploit auch die Kontrolle über dieses System erhalten. Anschliessend hätte er dann vollen Zugriff auf alle Systeme

Oder gibt es einen logischen Fehler in meinen Überlegungen?

[moe]

Du könntest ja das Wirtsytem soweit abschotten, dass ein exploit unwahrscheinlicher wird. Theorethisch bräuchte das Wirtsystem ja nichtmal Internetanbindung..
Dafür wäre vielleicht auch xen interessant, da man da auch Hardware ausm Wirtsystem ausgliedern, und einer virtuellen Maschine zuordnen kann.

Gruss Maurice

[ank666]

[Sandro]