Webserver im Sandkasten
System
Debian GNU/Linux
Version
7
Symptom
Ein Webserver und zugehörige Dienste wie ein Datenbankserver sollen in jeweils abgeschlossenen Umgebungen (jail bzw. sandbox) laufen, so dass diese auf andere Prozesse oder Dateisystembereiche des Betriebssystems nicht oder nur eingeschränkt zugreifen können.
Es gibt verschiedene Techniken, um Sandbox-Umgebungen herzustellen. Hier verwenden wir die Firejail Security Sandbox, die es ermöglicht, einem Dienst und allen zugehörigen Prozessen Betriebsmittel wie Netzwerkzugriff, Prozesstabelle oder Dateisystem in einem privaten, abgeschotteten Bereich zuzuteilen. Der Dienst sieht damit nur seine eigenen Prozesse und kann nur auf den Teil des Dateisystems zugreifen, der ihm zugeordnet wird.