© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, Dec 21, 2015 at 01:24:25AM +0100, Marc Santhoff wrote:
> On So, 2015-12-20 at 23:59 +0100, Bernd Walter wrote:
> > Ich habe schon seit Ewigkeiten alle möglichen komplexeren Programme,
> > wie Webbrowser und so, in eigenen Jails.
> > Zum einen, weil ich derartiger Software Sicherheitstechnisch nur
> > mässig traue, aber vor allem auch wegen der Updates.
> > Ich arbeite nahezu ausschlieslich per Ports und wenn ein Library Update
> > für Anwendung X notwendig sein sollte, dann will ich nicht die ganzen
> > anderen Anwendungen auch riskieren, die darauf basieren.
> > Abgesehen vom Risiko, dass was schief gehen kann, dauert so ein Bau
> > per Ports natürlich auch entsprechend lange.
> > Ebenso ist ein Rollback natürlich deutlich einfacher, weil man
> > einfach nur das Verzeichniss vom jeweiligen Jail zurück setzen muss.
>
> Dann hast Du in jedem Jail ein komplettes (Minimal-) System, bei Browser
> & Co. auch mitsamt Xorg?
Nicht mit komplettem Xorg - Client Libraries reichen, um zum XServer
zu verbinden.
Bei mir historisch, weil ich bis vor kurzem ein FreeBSD-7 am
Arbeitsplatz hatte, sogar auf einem anderen Rechner.
Seit wenigen Tagen habe ich ein aktuelles System.
> Klingt erstmal logisch, aber sobald Datenübertragung zum Host nötig
> wird, könnte es kompliziert werden.
NFS, bzw loopbackmounts für /home und sonstige Verzeichnisse, die man
so benötigt.
Das mit dem /home ist nicht komplett Problemfrei, weil dort diverse
Programme und Libs ihre configs ablegen, aber war auch bislang kein
kritisches Problem.
Was damit oftmals nicht geht ist mehreren Jails die gleichen Programme
zu starten - z.B. Broswer hinterlegen gerne mal Lockfiles in ~ und
die beissen sich dann - wenn nötig nehme ich da schon mal andere
User.
Manche Programme sind auch durchaus Datenlastig zum XServer.
Musste ich kürzlich mit Chrome feststellen, als ich übergangsweise
am neuen Rechner mit 100MBit/s Ethernet überbrücken musste.
Der schiebt scheinbar immer komplette Bitmaps zum XServer, anstelle
von Renderingkomandos.
Das ist aber mit GBit kein ernstes Problem mehr und mit einem lokalen
Jail sollte das erst recht kein Thema mehr sein.
Performancefeatures, wie shared-memory zum XServer geht natürlich
nicht mehr - reicht allerdings auch so.
Mplayer hatte ich schon immer lokal laufen lassen - ob das notwendig
ist kann ich nicht sagen.
Bei Browsern hinterlege ich gerne mal die Cache-Verzeichnisse per Softlink
auf ein nicht-NFS, weil die sich bisweilen da schon extrem daneben benehmen.
> Evolution arbeitet auf einen lokalen Mail-Server im LAN, das geht.
>
> Sachen wie Downloads kann man in ein reinmontiertes Verzeichnis legen,
> geht auch.
>
> Frickelig würde wohl Openoffice werden, wenn man verschiedene Pfade
> braucht. LAN für Vorlagen und Arbeitsdaten, dazu aber auch weitere Daten
> vom Desktop, Konfiguration. da reicht es mir schon, mehrere
> Arbeitsplätze im Zaum zu halten.
Open Office kann ich nicht mitreden - nie benutzt.
Ansonsten geht halt sehr viel über ~.
> Programmierumgebungen machen sowieso imer ihren eigenen Spaß in Sachen
> versionskombination, arbeiten aber auf ein Versionsverwaltung, so
> gesehen auch unkritisch.
>
> Gibt es da noch Haken in Sachen Anwender-Software, die ich grade nicht
> sehe? Bei Servern isses kein Thema.
>
> > ZFS erleichtert einem die Vorgehensweise dank Snapshots noch mal.
>
> Ist mir bisher eine Baustelle zuviel, aber stabilisiert dürfte es sich
> haben. Vielleicht, wenn mein Desktop mal wieder neue Hardware bekommt,
> da wird eh alles umgerührt.
Ist nicht zwingend notwendig für die Jail-Trennung, aber es bietet da
halt diverse Vorzüge.
Ich habe seit gut einem Jahr ein getrenntes ZFS mit SSD laufen, auf dem
ich unter anderen /home liegen habe.
Mit den vielen Sourcecodes in meinem Homedir bringt die einfache LZ4-
Kompression schon reichlich, sodass man mehr Kapazität vom teuren SSD hat:
[57]cicely1# zfs get compression,compressratio ssd1
NAME PROPERTY VALUE SOURCE
ssd1 compression lz4 local
ssd1 compressratio 1.63x -
-- B.Walter <bernd@bwct.de> http://www.bwct.de Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 21 Dec 2015 - 02:11:20 CET