Integrierter IPCop und NONSKAS-Kernel

Update: Ab paedML/openML 5.0 ist dieser Artikel obsolet. Der dort verwendete Kernel unterstützt den SKAS-Mode nicht mehr.

Der integrierte IPCop der paedML Linux läuft virtualisiert in einer  User-mode-Linux-Umgebung, die im sogenannten  SKAS-Mode (Seperate Kernel Address Space) abgesichert ist. Dazu wurde der paedML-Server-Kernel mit einem  SKAS-Patch modifiziert.

Standardmäßig wird der integrierte IPCop also mit einem Kernel gestartet, der diesen SKAS-Modus nutzt.

Ist es aus irgendeinem Grund notwendig auf dem Server einen anderen Kernel als den paedML spezifisch angepassten zu verwenden, muss der integrierte IPCop mit dem NONSKAS-Kernel gestartet werden. Dazu wird in der Konfigurationsdatei /etc/default/linuxmuster-ipcop die Variable SKAS_KERNEL auf "no" gesetzt:

# start IPCop? yes|no
START_IPCOP=yes

# use SKAS-Kernel? Defaults to yes
# change this to no, if you intend to use uml ipcop in a xen domain
SKAS_KERNEL=no

Der integrierte IPCop kann so in einer Xen-DomU oder auf einem 64Bit-System betrieben werden.

Diese Vorgehensweise ist auf einem Produktiv-System jedoch nicht zu empfehlen. da der NONSKAS-Modus Performanzeinbußen und Sicherheitsrisiken beinhaltet. So ist es Hackern u. U. möglich aus einer nicht im SKAS-Modus abgesicherten User-mode-Linux-Umgebung auszubrechen.

Sowieso sollte der IPCop in der integrierten Variante nur betrieben werden, wenn triftige Gründe dafür sprechen. Firewallexperten raten davon ab Firewalls in virtualisierten Umgebungen zu betreiben (siehe  UnIPCop).