Re: Jail Kunden Webserver

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Mon, 10 Nov 2003 20:36:10 +1100 (EST)

Hi,

On Mon, 10 Nov 2003, Widmer Hannes wrote:

> 1.) Das Jail muss ja jedes Mal kompiliert werden. Dies braucht Zeit...
> Nun, gibt es da auch eine schnellere Möglichkeit?....

Noeh, Einmal kompilieren, 1000 mal installieren. Zu dem Zwecke
/usr/obj, /usr/src und /usr/ports ins jail mounten.

Ergruende mal unser Webarchiv, es wurde hier schon einige Male auf der
Liste besprochen.

> 2.) Wir biten versch. Services an. Der Kunde kann eine minimal
> Installation haben oder z.b. Apache oder MySQL schon vorinstalliert. Um
> einen default zu haben, währe es genial, Jails für die verschiedenen
> Ansprüche vorzubereiten. Was habe ich hier für Möglichkeiten ?...

Du kompilierst halt die entsprechenden Ports und installierst im
entsprechenden Jail jeweils das, was Du dort haben moechtest.

> 3.) Wenn wir jemandem SSH Access geben, ist durch das Jail schon viel
> Sicherheit geboten. Nun, Memory, CPU und Space, teilen die sich aber
> immer noch. Nun, wie könnte ich sicherstellen, dass der User z.B. nicht
> ein Script schreiben kann, welches den gesammten Speicher frisst oder
> den CPU auslastet oder andere "böse" taten?

Es gibt ein paar sysctl-Variablen, die die Anzahl der Prozesse je
User z.B. beschraenken. Meines Wissens koennen diese Variablen
im jail nicht veraendert werden. Allerdings habe ich hier noch nicht
geschraubt, bitte pruefe das selbst.

Vielleicht hilft das als Ansatz?

> 4.) Kann man für Jails Quotas setzen oder geschieht dies im Filesystem ?...

Meines Wissens gibt es keine "jail-Quotas", sondern das muesste auf
Filesystem-Ebene passieren.

Ich weiss nicht, ob es brauchbar ist, hier ueber vinum je jail
groessenmaessig "abgemessene" Filesysteme bereitzustellen, die ins jail
gemountet werden.

Ich habe mit soetwas aehnlichem unter Linux mit LVM experimentiert, da
ging das prinzipiell, aber es wurde nicht verwendet (der Overhead und
Einrichtungsaufwand mit User-Mode-Linux schien zu gross)

Im uebrigen hatten wir hier eine freie Administrationssoftware benutzt,
die Plattenplatz, Groesse der MySQL-DB (MySQL wurde von den Kunden
geshart, sie bekamen jeweils DBs zugewiesen) etc. ueberwachte. Google,
google, sorry, kann es gerade nicht finden)

Vorher hatten wir uns Plesk angeguckt, was aber Geld kostet. Laeuft unter
Linux oder FreeBSD. Das wuerde auch gehen, aber mein Arbeitgeber hatte
keine Lust aufs Geldausgeben.

> 5.) Gibt es noch etwas das ich speziell beachten muss?...

Oja, ich suche gerade Arbeit. Darf ich das machen? ;-)

Gruss
Peter

To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 10 Nov 2003 - 10:36:07 CET

search this site