Re: 1st time jail

From: Alvar Freude <alvar(at)a-blast.org>
Date: Wed, 03 May 2006 16:38:07 +0200



Hallo,



-- Dejan Grujin <DGrujin(at)edv-dg.de> wrote:



> Welche Problematiken kommen auf mich zu?



kaum welche.



Neben den bereits emphohlenen Herangehensweisen habe ich gute Erfahrungen


mit ezjail aus den Ports gemacht.



Doku gibt es auch hier:



<http://erdgeist.org/arts/software/ezjail/>



Im Gegensatz zu der von Oliver Fromme empfohlenen Herangehensweise mit


einer lokalen 127.er IP mag ich es ein wenig komfortabler und vergebe


interne IPs, z.B. 10.123.45.1



Wenn im Hostsystem NAT aktiv ist, kann man dann aus dem Jail heraus ganz


normal Ports installieren.



Dafür lege ich einen weiteren nullfs-Mount vom /usr/ports des


Hostsystems in die einzelnen Jails, aber Read-Only. Portsnap braucht dann


nur auf dem Hostsystem für alle zu laufen.



Die Distfiles kommen wieder in ein gemeinsames Verzeichnis


(beschreibbar), da könnte ein Jail also theoretisch die anderen


infizieren -- aber die sind ja prüfsummengeschützt.



Das Ports-Arbeitsverzeichnis muss noch woanders hingelegt werden, das ist


ja nun nicht mehr beschreibbar. Also in /etc/make.conf:



  WRKDIRPREFIX=/var/ports


  DISTDIR=/usr/distfiles


  PACKAGES=/var/ports/packages



Wenn man dann mal alles in /usr/jails/newjail so eingerichtet hat wie es


in neuen Jails sein soll (z.B. localtime und make.conf und periodic.conf


etc), dann ist ein neues Jail Ruckzuck eingerichtet.



Wenn alles installiert ist, dann kann man auch per Firewall die Jails


dicht machen. Und Shells verschieben/löschen/umbenennen ;=)



Oliver: wie installierst Du bei Deiner Methode nochmal Software in den


Ports, gibt es da auch eine vergleichsweise komfortable Möglichkeit?



 


> Habe bisher noch nie mit jails gearbeitet, weil es nicht notwendig war.



ich habe bei meinen neuen Systemen angefangen, alles mit Jails zu machen;


abgesehen von dem Sicherheitsgewinn: es ist einfach sehr praktisch, jede


Sache quasi auf einem eigenen System laufen zu lassen.



Ciao


  Alvar



-- 
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.wen-waehlen.de/
** http://odem.org/
** http://www.assoziations-blaster.de/






To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 03 May 2006 - 16:40:35 CEST













search this site