My fist jail ignored

[FreeBSDuser]

Ich habe noch nie von dem befehl "makedir" gehört. Desweiteren ist ein Leerzeichen in "bsdinstall /jail /1".

Ich würde auch das exec.start="sleep 1"; rauslassen. Ich weiß nichts von races und das wäre auch keine Lösung dafür.

Man muss auch die IP Adressen nicht in der rc.conf eintragen, das Jail util macht einen alias mit der IP aus dem ip4.addr Eintrag der Jail.

 

[rubricanis]

Ich habe noch nie von dem befehl "makedir" gehört. Desweiteren ist ein Leerzeichen in "bsdinstall /jail /1".

Sorry, Fehler beim abschreiben:
# mkdir /jail
# mkdir /jail/1
# bsdinstall jail /jail/1

Ich würde auch das exec.start="sleep 1"; rauslassen. Ich weiß nichts von races und das wäre auch keine Lösung dafür.

Hmmm, ist ein Vorschlag von Yamagi. Was soll ich davon halten? Ich werds mal auskommentieren und versuchen.

Man muss auch die IP Adressen nicht in der rc.conf eintragen, das Jail util macht einen alias mit der IP aus dem ip4.addr Eintrag der Jail.

OK, mal sehen ob das etwas ändert ...

 

[rubricanis]

Ich habe den Fehler gefunden! As blind as men can be! Ich hatte in der jail.conf die Zeile " exec.start+="/bin/sh /etc/rc" vergessen. Dann kann das natürlich nicht funktionieren.

Sorry for the noise!

Peter

 

[Yamagi]

Ich würde auch das exec.start="sleep 1"; rauslassen. Ich weiß nichts von races und das wäre auch keine Lösung dafür.

Ich sehe, du nutzt kein IPv6 mit Jails Das IOCTL zum Setzen eines IPv6-Alias kehrt sofort zurück, die Adresse wird aber je nach NIC erst nach einigen Millisekunden verfügbar. Bei einem schnellen System mit SSDs überholt der Dienststart daher das Setzen der Adresse, die Dienste binden sich nicht auf die Adresse. Das Schlafen von einer Sekunde ist ein dreckiger Hack, um der Adresse ausreichend Zeit zum Durchsickern zu geben. Eine Änderung im Verhalten des IOCTL darf gern mit dem Cabal diskutiert werden. Aber ich fürchte, die machen da ihrem Namen alle Ehre...

 

[TCM]

FreeBSD, das Linux unter den BSDs.

 

[rubricanis]

Gehe ich richtig in der Annahme dass sich das jail, das ja eine öffentliche IP-Adresse hat wie ein ganz normales FBSD verhalten sollte oder muss ich da - abgesehen vom hostname in rc.conf - noch etwas ändern.

Die IP des jails ist in /etc/rc.conf nicht eingetragen, ist das richtig?
Die /etc/ssh/sshd_config ist unverändert, ich sollte daher Zugriff per PW haben, was aber nicht der Fall ist.

Ein weiterer Punkt: Die IP meines hostes bei Hetzner hat die netmask 255.255.255.224. Kann es sein dass ich die für das jail auch so einstellen muss?

Und noch etwas: Empfielt es sich die ports im jail selbst zu installieren oder macht man das üblicherweise über nullfs?

Peter

 

[KobRheTilla]

Die Adresse des Jail steht in der jail.conf und wird beim Start des Jails automatisch als Interface-Alias angelegt.
Warum du dich per SSH nicht einloggen kannst, siehst du in /var/log/auth.log.

Rob

 

[rubricanis]

Das sagt - zumindest mir - nicht allzuviel

Das sind die beiden letzten Einträge:
error: PAM: authentication error for root from xxx-xxx-xxx-xxx.adsl.highway.telekom.at
Postponed keyboard-interactive for root from xxx.xxx.xxx.xx port xxxx ssh2 [preauth]

Peter

 

[rubricanis]

Sorry, das sind die Einträge vom host. Aber im jail selbst sind die identisch, nur das datum stimmt.
Ich denke ich mache einfach ein 2. jail. Vielleicht habe ich mich irgenwo beim PW oder so vertippt.

 

[KobRheTilla]

Auf dem Host:

# /etc/rc.d/jail console <jailname>

Dann hast du ein Terminal auf dem Jail offen (insofern es läuft).
Nun kannst du dein Passwort einfach ändern (passwd).

Hast du "PermitRootLogin yes" in der /etc/ssh/sshd_config?

Rob

 

[rubricanis]

Hast du "PermitRootLogin yes" in der /etc/ssh/sshd_config?

Rob, das war's!

Ich bin irtümlicherweise davon ausgegangen dass "yes" default ist. War aber "no"

Noch etwas: Ich bekomme bei jail -c s1 immer "ln: /dev/log: Operation not permitted". Das heißt wohl dass er das log auf dem host schreiben will. Wie gehe ich damit um?

Peter

 

[Yamagi]

Das ist normal. Das syslogd(8) rc-Script verbiegt aus historischen Gründen beim Start das Device /dev/log zu einem Symlink auf seinen Socket. Das darf er nicht, da ein Prozess im Jail das /dev des Jails nicht manipulieren darf. Man kann die Fehlermeldung getrost ignorieren, da /dev/log schon seit mindestens 15 Jahren nicht mehr genutzt werden sollte. Die Manpage sagt dazu: "The log socket was moved from /dev to ease the use of a read-only root file system. This may confuse some old binaries so that a symbolic link might be used for a transitional period."

Irgendjemand hat da schon mal einen Bugreport geschrieben, aber bisher fühlte sich noch niemand dafür zuständig: http://www.freebsd.org/cgi/query-pr.cgi?pr=179828

 

[rubricanis]

sshd_config "PasswordAuthentication no" scheint nichts zu nützen, - sowohl im host als auch im jail. Sind da irgenwelche anderen Einstellungen im Wege oder muss ich jedem Benutzer das PW-Login individuell verbieten was aber etwas umständlich ist.

RootLogin verbieten das funktioniert.

 

[Yamagi]

"PasswordAuthentication" ist die in SSH eingebaute Passwort-Authentifizierung. Auf den meisten unixoiden Systemen nutzt SSH aber zusätzlich das systemweite Login-System, unter FreeBSD und Linux ist es PAM. Du musst also auch noch "ChallengeResponseAuthentication" abschalten, damit dessen Passwörter nicht mehr akzeptiert werden.

 

[rubricanis]

Danke Yamagi & Alle!

Ich denke damit ist erst einmal alles klar und ich kann mich um die "Inneneinrichtung" kümmern, aber das ist eine andere Baustelle...

Peter