Jail frage

[daiv]

ich habe mich nun endlich nach langem hin und her dazu bewegt, jails zu benutzen. die jails funzen auch so weit ich das beurteilen kann.

ich habe jetzt 4 jails:

www
mail
ftp
sandbox

ich denke mal, die namen erklären sich selbst.

meine frage ist jetzt: wenn ich in der www-jail zb. einen Apache installiere und php+mysql benötige, aber auch in der jail-ftp eine mysql datenbank benötige, muss ich dann mysql (zb) 2 mal installieren?
nach meinem verständnis - ja, aber vielleicht habt ihr da andere lösungen.


dieses icon ist der wahnsinn, hahahahahaha->

 

[crash-x]

mach doch einfahc noch eine jail wo mysql läuft, dann kannste aus beiden aus auf sie zugreifen. Oder pack den mysqld in die www jail, auf die kann man dann ka aus ftp zugreifen.

 

[daiv]

also geht das?
man kann also mysql zb aufm hostsystem installieren und dort alles von den jails verwalten? also von der www jail liegen dort die datenbanken und genauso vom ftp liegen dort zb die benutzerdatenbanken?
und ich muss dann mysql nur einmal starten?`
wie funktioniert das dann?

 

[p4lm0r]

also soweit ich weiß kann man doch remote auf eine mysql db zugreifen daher brauchst du nur eine jail für mysql.

die frage die ich mir stelle ist, warum du www und ftp trennst? du willst doch per ftp die files für den http server hochladen? oder check ich das nicht? naja spielt eigentlich für deine kern frage keine rolle.

 

[daiv]

also erstmal danke. daran habe ich garnicht gedacht, dass der mysql ja nicht local sein MUSS. ich kann ja auch die ip der jail bzw des hostsystems angeben?!
ok wegen dem anderen, du hast schon recht, normalerweise macht es keinen sinn das zu trennen. vielleicht sollte ich das auch zusammen schmeissen.
würdest du mysql im hostsystem installieren oder ne eigene jail machen wie crash-x es vorschlägt?

 

[p4lm0r]

für mysql würde ich in eine jail hängen, da kann man sich aber durchaus überlegen ob man es mit in die ftp bzw www jail packt oder ob man es absondert. eine eigene jail hätte unter anderem der vorteil das bei einem angriff nicht direkt alle datenbanken offen liegen. da wahrscheinlich aber dann doch die ein oder anderen zugangs daten offen liegen z.b. der für den ftp server . . . etc . . ich denke das muss / kann jeder für sich entscheiden. aber auf dem host system würde ich sie nicht laufen lassen . . . da würde ich nur das nötigste laufen lassen und der rest ab in ne jail . . .

 

[daiv]

stimmt!

ich danke euch für die vorschläge und antworten.

ich glaube ich mach aus der ftp jail einfach die mysql jail und schmeisse www ftp zusammen. von da aus kann ich dann auf die mysql jail zugreifen.

was ich noch fragen wollte wegen jails:
sollte man die jails nicht so einstellen, dass user auf dem host system nicht in die jailordner rein drüfen? also auch nicht lesen? wirkt sich das irgendwie negativ aus?

 

[juedan]

Hallo daiv,

stimmt!

ich danke euch für die vorschläge und antworten.

ich glaube ich mach aus der ftp jail einfach die mysql jail und schmeisse www ftp zusammen. von da aus kann ich dann auf die mysql jail zugreifen.

was ich noch fragen wollte wegen jails:
sollte man die jails nicht so einstellen, dass user auf dem host system nicht in die jailordner rein drüfen? also auch nicht lesen? wirkt sich das irgendwie negativ aus?

Was sollen die da anrichten können?
Du kannst natürlich die permissions setzen so wie Du es haben möchtest. Denke aber daran, nicht dem root-User die Berechtigung zu entziehen.

Viele Grüße

Jürgen

 

[daiv]

Denke aber daran, nicht dem root-User die Berechtigung zu entziehen.

so habe ich das noch nie betrachtet. ist das denn möglich? was ist dann in so einem fall?

 

[juedan]

so habe ich das noch nie betrachtet. ist das denn möglich? was ist dann in so einem fall?

Freilich ist das möglich. Ein Freund von mir hatte das mal auf einem Produktivsystem gemacht. War nicht lustig, wie er mir erzählt hat.

Grüße

Jürgen

 

[daiv]

gibts dann kein zurück? sind dann die daten "verloren"? oder kann man sie noch in einem anderen rechner bzw. im single user modus her holen?

 

[asg]

@daiv
Von was sprichst Du?

 

[Ice]

@asg

Ich denke mal, davon:

Denke aber daran, nicht dem root-User die Berechtigung zu entziehen.
Ist das denn möglich? was ist dann in so einem fall?

Gruß,

Ice

 

[daiv]

von dem problem was hier angesprochen wurde. dass sich root die rechte nehmen kann. mir war das nicht bewusst, also dass es so weit kommen kann.

 

[asg]

Ok, ich kann nicht folgen. Wo soll man root die Rechte nehmen oder wer?

 

[daiv]

sorry dass das jetzt etwas verwirrend ist. es ist nur angesprochen worden, dass sich root selbst die rechte an dateien nehmen kann. hat im eigentlichen nix mit meiner jail frage zu tun.

ich wollte eigentlich dann nur wissen, ob ich den restlichen usern auf meinem system die leserechte an der jail nehmen soll. wegen sicherheit etc.