System mit User Mode Linux zu Archivezwecken einfrieren
hallo alle
Für die folgenden Lösungen wird eine Archivierung der Projekte über
einen Zeitraum von fünf Jahren angestrebt. Das Ziel ist es, ein
abgeschlossenes Projekte einmalig auf einem System zu installieren, und
zwar so, dass keinen weiteren Betreuungsaufwand mehr nötig ist.
Das Problem von unbetreuten Systemen, welche über ein Netzwerk
zugänglich sind, ist die Sicherheit. Je mehr Zeit vergeht, desto mehr
Sicherheitslücken werden bekannt und desto mehr Exploits, um über diese
Sicherheitslücken ins System einzudringen, sind vorhanden.
Debian erlaubt es zwar, über das Packet-Managment relativ einfach das
System auf den neusten Stand zu bringen. Doch ist dies aus folgendem
Grund keine Lösung: Unter Umständen wird von einer projektrelevanten
Software ein neues Pakete aufgespielt. Dieses Packet kann sich
zwischenzeitlich so verändert haben, dass das Projekt nicht mehr
einwandfrei läuft.
Beinhaltet das Projekt viel selbst geschriebene Software, kann der
Anpassungsaufwand beträchtlich sein und wird aus Zeitmangel nicht
durchgeführt: das Projekt zerfällt. Auch vom archivarischen Standpunkt,
welcher die Projekte im Originalzustand erhalten will, sind Änderungen
nicht erwünscht.
Lösung
Idee
Das Ziel ist ein System zu bauen, bei dem ein Wirtssystem mehrere
Gastsysteme beheimatet. Sowohl auf dem Wirtssystem, wie auch auf dem
Gastsystem läuft ein Webserver. Über den Webserver des Wirtssystem wird
die Webseiten des Gastsystem geroutet und dem Besucher geliefert. So ist
nur das Wirtssystem vom Internet aus erreichbar und ist somit das
einzige System, bei dem Sicherheitsupdate eingespielt werden müssen.
Umsetzung
User Mode Linux, abgekürzt UML, heisst die Lösung.[1] Mit User Mode
Linux ist es möglich auf einem Wirtssystem unter einem normalen User
einen Linux-Kernel zu starten. Dieser modifizierte Kernel verhält sich
wie der eines normalen Systems.
Ein im UML ausgeführtes Programm bemerkt nicht, dass es in einer
UML-Umgebung läuft. Jede dieser virtuellen Maschinen besitzt eine
eigenes Filesystem und ein Teil vom RAM der Wirtsmaschine. Die Anzahl
von UML-Systemen auf einem Computer ist somit nur durch die
Hardwareausstattung der Wirtsmaschine begrenzt. Komerzielle Anbieter von
UML betreiben bis zu fünfzig UML-Systeme parallel auf einem Rechner.
In einem UML wird nun das zu archivierende Projekt mit aller benötigter
Software installiert. Sobald die Konfiguration abgeschlossen ist, wird
der Zugriff übers Internet auf das UML unterbunden. Dem UML wird eine
lokale IP-Nummer zugeteil. Nun ist es nur noch möglich über das
Wirtssystem auf die virtuelle Maschine zuzugreifen. Mit dem mod_proxy
und mit dem mod_rewrite Modul vom Apache wird über den Webserver des
Wirtsystems auf den Webserver im UML zugegriffen.[2]
Diskussion
Die einzige Möglichkeit in das UML System einzudringen besteht über den
Apache, da alle andern Dienste abgeschaltet werden. Wenn ein Angreifer
über den Apache eindringt, kann er dann überhaupt Kontakt zum gehackten
Server aufnehmen? Der Server besitzt ja keine IP-Nummer die von Internet
her ansprechbar ist. Was meint ihr über dieses Konzept, ist es
realistisch die Projekte in der UML-Umgebung sozusagen einfrieren
ohne nach fünf Jahren gehackt zu werden ?
martin krung
[1] http://user-mode-linux.sourceforge.net/
[2] http://www.newarchitectmag.com/archives/1998/05/engelschall/
Reply to: