© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am Mittwoch, den 19.04.2006, 14:21 +0200 schrieb Nicola Tiling:
>
> Hallo
>
> Ich sitze gerde über der Neueinstallation eines Internetservers der auch
> meherer Jails beheimaten soll. Ich dachte ich richte einen Slice nur für die
> Jails ein. Ich wollte die PHP Webserver in einen eigenen jail sperren und
> muß dafür auch die ohne php jeweils separieren. Trotzdem möchte ich sie auf
> eine gemeinsame Datenbasis zugreifen lassen. Diese dann in einem dritten
> Slice. D.h. Datenpartion und Dienst werden getrennt. Die Datenpartionen
> werden in der fstab in die jails eingehängt
>
> /var/pop3 /jails/jail1/var/pop3 null
> /var/www /jails/jail2/usr/local/www/data null
> /var/www /jails/jail3/usr/local/www/data null
> /var/www /jails/jail4/usr/local/www/data null
> /var/db/mysql /jails/jail1/var/db/mysql null
> /var/db/mysql /jails/jail2/var/db/mysql null
> /var/db/mysql /jails/jail3/var/db/mysql null
> /var/db/mysql /jails/jail4/var/db/mysql null
>
>
> So der Plan. Was meint ihr? Oder ist das Unsinn?
Im Moment sehe ich keinen Vorteil Daten und Dienste zu trennen, sobald
das Jail kompromittiert wurde sind die Daten ebenfalls gefährdet.
Aber jedem Jail eine eigene Partition zuzuordnen halte ich für sehr
sinnvoll, dann gibt's keinen Umstand mit quotas und Hardlinks etc.
Ich verwende dafür aber GPT da auch mit wenigen Jails die 8 Labels
schnell aufgebraucht sind und Slices unnötig nur schwer änderbare
Beschränkungen mit sich bringen.
Deshalb packe ich entweder ein GPT auf die komplette Platte (wenn das
System, das noch immer unter i386 ausschliesslich von MBR booten kann,
auf einer anderen Platte liegt) oder in ein "riesen"-Slice und mache
jede Partition nur so groß daß das Jail-System samt Paketen darauf
passt, der Rest wird per nullfs von zusätzlichen (austauschbaren) GPT
Partitionen bereitgestellt.
An der Stelle sei erwähnt daß inzwischen glücklicherweiese Labels mit
dem GPT Tool angelegt werden können. Sehr hilfreich bei Systemen mit
mehreren Duzend Partitionen... UFS Labels zwar auch aber gerade bei
Reorganisationen (im Zusammenspiel mit gmirror insbesondere) sind die
GPT Labels extrem hilfreich und für mich unverzichtbar geworden.
Grüße,
-Harry
>
>
> SLICE 1 Muttermaschine
> ====================== GB
> / 2
> Swap 4
> /usr 12
> /var 10
> /tmp 0,5
>
>
> SLICE 2 Jails
> =================
> /jail1: mail 3
> /jail2: www-http 3
> /jail3: www-https 3
> /jail4: www-php-mysql 3
> /jail5: bind 3
> /jail6: ... 3
> /jail7: ... 3
> /jail8: ... 3
>
>
> SLICE 3 Data
> ================
> /var/www www 200
> /var/pop3 mail 100
> /var/db mysql & Co 50
> ...
>
>
> Grüße
> Nicola
>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 19 Apr 2006 - 15:19:41 CEST