die datenschleuder. - Chaosradio - CCC

Nun wird das Gastgebersystem
als NAT-Router konfiguriert. Ein
Destination-NAT erlaubt z.B. die
Weiterleitung von Anfragen auf
bestimmten Ports des Gastgebers
an bestimmte Gastsysteme. Ein
Source-NAT gibt dem Gast Zugriff
auf das äußere Netzwerk. Natürlich
kann man stattdessen auch
einen Proxy aufsetzen oder Netzwerkzugriff
vom Gastsystem ganz
unterbinden.
Gastsystem vorbereiten,
Teil I: Kern
Zunächst wird der jüngste UML-
Patch auf passende Kernelquellen
appliziert. Nun wird konfiguriert
und kompiliert, z.B. mittels:
make menuconfig ARCH=um
make linux ARCH=um
Unterstützung für SMP und SKAS lassen sich noch nicht
gleichzeitig verwenden. Bis diese Funktionalität vorhanden
ist, sei den Administratoren von SMP-Gastgebersystemen
empfohlen sich für SKAS und gegen SMP zu entscheiden.
Wird das Feature hostfs aktiviert, so kann auf dem Gastsystem
jedes Verzeichnis des Gastgebers eingebunden werden,
und zwar mit allen Rechten des Benutzers, unter dessen
Namen der UMLinux-Prozess läuft:
mount -t hostfs none /mnt -o /usr
Diese Dateizugriffsmethode ist sehr effizient (siehe Tabelle),
allerdings i.a. aus Sicherheitsgründen unerwünscht. Seit
April steht unter dem Namen humfs ein Nachfolger von
hostfs zur Verfügung, das Dateirechte intelligenter handhabt.
Teil II. Wurzeldateisystem
Als Wurzeldateisystem kann ein Dateisystem in einer Datei,
eine Partition, ein Verzeichnis auf dem Gastgeber oder
auch ein per NFS exportiertes Verzeichnis verwendet werden.
Eine attraktive Spezialität sind Copy on Write Geräte.
Diese bestehen aus einem Dateisystemimage und einer
sogenannten Backing-Datei. Diese Gesamtheit wird auf
dem Gastsystem schreibbar eingebunden. Alle Änderungen
werden in der Backing-Datei gespeichert, sodass das Dateisystemimage
von mehreren Gastsystemen gleichzeitig verwendet
werden kann. Anfängern sei empfohlen ein fertiges
Dateisystemimage herunterzuladen, später kann man
ein solches auch selbst erzeugen. Rootstrap wurde getestet
und für gut befunden, es stehen noch etliche andere Werkzeuge
dieser Art zur Verfügung.
Gastsystem starten
52 52
Rechenleistung
MFLOPS *
hostfs
MB/s (CPU/%) **
ext3 auf ubd
MB/s (CPU/%) **
nfs
MB/s (CPU/%) **
tcp stream
Mbit/s (CPU/%)
***
Beim Starten von UMLinux wird die Größe des zu verwendenden
Speicherbereichs angegeben (mem=xxxM). Dieser
Wert sollte nicht zu groß gewählt werden, denn nicht
benötigter Platz wird nicht mehr freigegeben (s.o.). Falls
UMLinux mit Unterstützung für devfs kompiliert wurde,
das System auf dem Rootdateisystemimage jedoch
MATRJOSHKA LINUX
Gastgeber Gast
113,6 112,3
R 19,5 (15)
W 21,7 (60)
#83 / 2004
kein devfs unterstützt, muß mit
devfs=none gestartet werden. Konsolen
des virtuellen Systems können
unter anderem mit ttys, ptys
und xterms auf dem Host verbunden
werden. Dies ist zur Konfiguration
des Netzwerks und des SSH-Daemons
nützlich. Später kann dann mit
(con=none) gestartet werden. Ferner
weist man das Gastsystem an, eth0
mit einem bestimmten Tap-Gerät auf
dem Gastgebersystem zu verwbinden
(eth0=tuntap,tap0,...). Auf dem
Gastsystem wird eth0 dann z.B. Mit
ifconfig konfiguriert. Weitere (teilweise
nur dort dokumentierte) Kommandozeilenoptionen
finden sich auf [2].
Leistungsfähigkeit
Der Prozessor und die Festplatten des
Gastgebersystems können ohne große
Performanceeinbußen verwendet
werden (siehe Tabelle 1 und Fußnoten).
Tun/Tap Netzwerkgeräte brauchen Rechenleistung
und können derzeit nur einen Prozessor verwenden. Wird
anstelle von zwei Xeon Prozessoren mit 550 Mhz ein Athlon
mit 1 GHz eingesetzt, lassen sich 100 Mbit/s erzielen.
Wenn viele System Calls ausgeführt werden sollen, sind die
SYSEMU-Patches [3] interessant.
Nicht sicher genug?
Für UML-2.4.17-8 existiert ein Proof of Concept Exploit
[4]. Es ist vorstellbar, auf dem UML-System root zu werden
und anschließend auszubrechen. Im SKAS-Modus der
heutigen UML-Kernels besteht diese konkrete Möglichkeit
nicht mehr. UMLinux lässt sich außerdem statisch linken
und läuft dann auch in einem schlanken Chroot-Jail.
Dieses muß neben dem Wurzeldateisystemimage lediglich
den Tun/Tap-Device-Node, /proc/cpuinfo und /proc/
mm enthalten. Die letzteren beiden lassen sich mit mount -
-bind vom Jail aus zugänglich machen, nachdem man mit
touch(1) entsprechende Ziel-Inodes erstellt hat. Nicht
erforderlich aber sinnvoll ist ein tmpfs um das RAM-Image
aufzunehmen. Das tatsächliche Starten des Kernels lässt
sich z.B. mit jail_uml aus den UML-Utilities bewerkstelligen.
Fazit
Ein einfaches System für Virtuelles Hosting mit User Mode
Linux lässt sich innerhalb weniger Stunden aufsetzen. Auf
preiswerter Hardware kann man gute Performance erzielen.
Es gibt übrigens bereits etliche kommerzielle Anbieter[5].
Wer trotz SKAS-Mode noch um die Sicherheit seines
Systems fürchtet, hat die Möglichkeit jeden UML-Kernel in
einem eigenen Chroot-Jail auszuführen.
Links
R 17,4 (93)
W 14,8 (94)
R 14,8 (84)
W 10,7 (87)
R 5,0 (50)
W 4,9 (40)
94 (3) 55 (100)
* Gemessen mit FLOPS-Linux, das Gastgebersystem verfügt
über zwei 550 MHz Xeon-Prozessoren, allerdings
verwendet FLOPS-Linux in der vorliegenden Form nur
einen davon.
** Gemessen mit tiobench bei acht Threads, die insgesamt
vier Gigabyte Dateien sequentiell auf einem RAID-
Array lesen und schreiben. In Klammer wird die CPU-Auslastung
bezogen auf einen Prozessor genannt.
***Gemessen mit netperf, Modus TCP_STREAM. Gastgebersystem
und Gegenstelle sind über ein geswitchtes
Ethernet verbunden
[1]. http://user-mode-linux.sourceforge.net
[2]. http://user-mode-linux.sourceforge.net/switches.html
[3]. http://perso.wanadoo.fr/laurent.vivier/UML/
[4]. http://seclists.org/lists/bugtraq/2002/Jan/0338.html
[5]. http://user-mode-linux.sourceforge.net/uses.html
die datenschleuder