Re: Jail Kunden Webserver

From: Jens Rehsack <rehsack(at)liwing.de>
Date: Mon, 10 Nov 2003 09:41:33 +0000

Widmer Hannes wrote:
> Hallo Liste
>
> Habe den Auftrag gefasst, diese woche einen Webserver für Kunden aufzusetzen. Nun meine Frage:
>
> Ich möchte jedem Kunden ein eigenes Jail geben, rein aus sicherheitsgründe
> und um den Kunden die möglichkeit von SSH zu erlauben. Nun, gibt es
da einige
> punkte, für welche ich noch keine Idee hab, wie zu bewältigen.
> Ich währe euch sehr dankbar für ein Tipps.
>
> 1.) Das Jail muss ja jedes Mal kompiliert werden. Dies braucht Zeit...
> Nun, gibt es da auch eine schnellere Möglichkeit?....

Bourne-Shell:
cd /usr/src
make buildworld
for a in / /data/jails/*
do
        MAKE_CONF=`echo "${1}/etc/make.conf"|sed 's|//|/|'`
         if [ ! -f ${MAKE_CONF} ]
         then
                 destetc=`dirname ${MAKE_CONF}`
                 if [ ! -d ${destetc} ]
                 then
                         mkdir -p ${destetc}
                 fi
                 cp /etc/make.conf ${MAKE_CONF}
         fi

         env __MAKE_CONF=${MAKE_CONF} \
                 make installworld DESTDIR=${1} && \
                 mergemaster -i -D ${1}
done

> 2.) Wir biten versch. Services an. Der Kunde kann eine
> minimal Installation haben oder z.b. Apache oder MySQL
> schon vorinstalliert. Um einen default zu haben, währe
> es genial, Jails für die verschiedenen Ansprüche
> vorzubereiten. Was habe ich hier für Möglichkeiten ?...

Packages?

> 3.) Wenn wir jemandem SSH Access geben, ist durch das
> Jail schon viel Sicherheit geboten. Nun, Memory,
> CPU und Space, teilen die sich aber immer noch.
> Nun, wie könnte ich sicherstellen, dass der User
> z.B. nicht ein Script schreiben kann, welches den
> gesammten Speicher frisst oder den CPU auslastet
> oder andere "böse" taten?

Keine Ahnung, aber vielleicht hilft Dir
accton(8), acct(5) oder sa(8) weiter.

> 4.) Kann man für Jails Quotas setzen oder geschieht dies im Filesystem ?...
>
> 5.) Gibt es noch etwas das ich speziell beachten muss?...

Wäre schon durchaus denkbar :-)

Jens

To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 10 Nov 2003 - 10:42:35 CET

search this site