Re: Jail-Ressourcelimits

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 23 Oct 2006 11:13:56 +0200 (CEST)



Peter Ross wrote:


 > ich erinnere mich einer Frage nach Ressourcenlimits im Jail. Hier Neues 


 > aus dem vierteljaehrlichen FreeBSD Status Report:


 > [...]



Alles schön und gut, aber ich fände es _viel_ nützlicher,


wenn der Netzwerkstack virtualisiert würde, so dass man


pro Jail Default-Routen, mehrere IPs usw. festlegen könnte.


Auch die Unterstützung von Jails durch Paketfilter ist der-


zeit noch sehr mangelhaft.  Und der localhost-Hack, den


Jails momentan haben, ist nicht nur verwirrend und Anti-


POLA, sondern kann sicherheitstechnisch sogar sehr gefähr-


lich werden (wenn z.B. jemand nichtsahnend in einem Jail


einen Daemon auf 127.0.0.1 startet und glaubt, der sei von


aussen nicht erreichbar, dann hat er ein ernstes Problem).


Und die Dokumentation ist mangelhaft.



Eine Resourcenkontrolle von CPU oder Speicher in Jails habe


ich dagegen noch nie gebraucht.  Die vorhandenen Nice-Werte


und idprio/rtprio sowie Prozess-Limits (die leider immer


mehr in Vergessenheit zu geraten scheinen) haben mir dafür


bisher immer vollauf genügt.



Man soll ja bei Open-Source nicht meckern, sondern selbst


Hand anlegen (was wiederum auch leichter gesagt als getan


ist) ...  Dennoch muss ich sagen, dass die Arbeit, die


da in die Jails investiert wurde, meiner Meinung nach in


die falsche Richtung gegangen ist.  Zumal ja durchaus


inoffizielle Patches für eine Netzwerkstack-Virtualisierung


existieren, aber irgendwie scheinen die entscheidenden


Leute das zu ignorieren.  Vermutlich wieder mal ein


Fahrradschuppen-Problem ...



Gruss


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"If Java had true garbage collection, most programs
would delete themselves upon execution."
        -- Robert Sewell
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 23 Oct 2006 - 11:16:27 CEST













search this site