Jail Frage

I

ixbsd

Member
Hallo Zusammen,

hab einen Server in einem großen RZ mit FreeBSD 5.3-RELEASE und 8 öffentlichen IP-Adressen. Diesen möchte ich nun als Web-Server (sicher) einrichten. Hier im Forum wird ja immer von Jails geschwärmt, nur bin ich mir nicht ganz sicher wann Jails sinnvoll sind und welche Dienste wirklich in einer Jail laufen müssen? Möchte folgende Dienste servieren:

- Apache
- MySQL
- Postfix
- VSFTP

Nun habe ich 3 unabhängige Projekte, welche alle eine eigene IP erhalten sollen. Muss ich jetzt 3 Jails bauen, sprich für jedes Projekt eine Eigene, und somit alles 3x installieren und updaten oder soll ich 3x Apache-Jails, 1x MySQL-Jail, 1x Postfix-Jail und 1x VSFTP-Jail bauen?

Hoffe mich richtig und verständlich ausgedrückt zu haben!?

Ansonsten möchte ich noch ein HALLO ins Forum werfen, da dies mein erster Beitrag ist und ich hoffe hier viel dazulernen zu können...

Viele Grüße, ixbsd

Hab etwas wichtiges vergessen: Wie sieht es denn mit der Performance/Speicher aus, wenn ich zum Beispiel auf einem Server 3 Apaches installiere?
 
Zuletzt bearbeitet:
Nabend.

ixbsd schrieb:
[...]
Nun habe ich 3 unabhängige Projekte, welche alle eine eigene IP erhalten sollen. Muss ich jetzt 3 Jails bauen, sprich für jedes Projekt eine Eigene, und somit alles 3x installieren und updaten oder soll ich 3x Apache-Jails, 1x MySQL-Jail, 1x Postfix-Jail und 1x VSFTP-Jail bauen?
Zum Vergrößern anklicken....

Alle drei Projekte nutzen Apache, FTP, SQL und Postfix? Dann installier doch eine Jail in der das alles rennt. Fertig. Wenn Du es schön aufteilen willst dann mach Dir drei Jails, eine für jedes projekt, ist dann übersichtlicher und rennt unabhängig voneinander. Dazu eine jail mit dem ganzen Kram konfigurieren, diese Jail dann mit "cpdup" (in den Ports) kopieren. Schon hast Du drei jails mit der gleichen Installation.

Hab etwas wichtiges vergessen: Wie sieht es denn mit der Performance/Speicher aus, wenn ich zum Beispiel auf einem Server 3 Apaches installiere?
Zum Vergrößern anklicken....

Das kommt wohl darauf an wieviel Zugriffe zu erwarten sind. Wenn Du nun die Jails meinst, das diese zuviel RAM und CPU fressen (von sich aus), dann sei beruhigt, machen sie nicht.
 
asg schrieb:
Alle drei Projekte nutzen Apache, FTP, SQL und Postfix?
Zum Vergrößern anklicken....

Ja.

asg schrieb:
Dann installier doch eine Jail in der das alles rennt. Fertig.
Zum Vergrößern anklicken....

Dann kann ich doch nicht jedem Projekt eine eigene IP geben, oder habe ich da etwas falsch verstanden?

asg schrieb:
Wenn Du es schön aufteilen willst dann mach Dir drei Jails, eine für jedes projekt, ist dann übersichtlicher und rennt unabhängig voneinander. Dazu eine jail mit dem ganzen Kram konfigurieren, diese Jail dann mit "cpdup" (in den Ports) kopieren. Schon hast Du drei jails mit der gleichen Installation.
Zum Vergrößern anklicken....

Was wäre, wenn ich eine MySQL-Jail und eine Postfix-Jail baue, die Alle nutzen können, wenn benötigt! Und dann nur noch 3 Jails für VSFTP und Apache! Gute Idee, oder siehst Du darin Probleme.

Wichtig ist für mich auch das Unproblematische/Schnelle Installieren von Updates/Sicherheitspatches, da es ein wichtiges Produktivsystem ist, welches eine Uptime von > 99% haben muss (Online-Shop). Ich gebe zu das ich das "Patchmanagement" von FreeBSD noch nicht ganz verstanden habe -> komme von Debian.



asg schrieb:
Das kommt wohl darauf an wieviel Zugriffe zu erwarten sind. Wenn Du nun die Jails meinst, das diese zuviel RAM und CPU fressen (von sich aus), dann sei beruhigt, machen sie nicht.
Zum Vergrößern anklicken....

Okay, finde es nur etwas "doof" 3mal Apache zu installieren.

Ich habe mal gelesen, dass man Jails mehrere IPs zuweisen kann, das würde eine Menge Probleme/Ungereimtheiten lösen. Ist das ein wilder Hack oder kann man dies benutzen?

Vielen Dank, ixbsd
 
Zuletzt bearbeitet:
Die Frage ist. Warum willst Du jedem Projekt eine eigene IP geben?

Das kannst Du naemlich auch mit einer Apache-Installiation machen (vhost).

Dann kannst Du auch eine Jail nehmen.
 
bossk schrieb:
Die Frage ist. Warum willst Du jedem Projekt eine eigene IP geben?
Zum Vergrößern anklicken....

Weil ich verschleiern möchte, dass Projekt A mit Projekt B zusammen auf einem Server liegt. Man kann ja dann anhand der IPs nur sehen wem das IP-Netz zugeordnet wurde, aber nicht ob das auch der gleiche Server ist.
 
ixbsd schrieb:
Okay, finde es nur etwas "doof" 3mal Apache zu installieren.
Ich habe mal gelesen, dass man Jails mehrere IPs zuweisen kann, das würde eine Menge Probleme/Ungereimtheiten lösen. Ist das ein wilder Hack oder kann man dies benutzen?
Vielen Dank, ixbsd
Zum Vergrößern anklicken....

Dreimal musst Du nicht installieren. Er würde dann nur dreimal in einer Jail rennen. Aber wenn Du nur einen Apache hast, dann werden dir dort umso mehr Prozesse gestartet wenn dieser für drei Projekte zuständig ist.

Weil ich verschleiern möchte, dass Projekt A mit Projekt B zusammen auf einem Server liegt. Man kann ja dann anhand der IPs nur sehen wem das IP-Netz zugeordnet wurde, aber nicht ob das auch der gleiche Server ist.
Zum Vergrößern anklicken....

Dann installier drei jails in denen jeweils Deine Serverdienste laufen. Dann hast Du eine saubere Trennung. Auch wenn mal jemand Zugriff auf die DB bekommen sollte, so ist das dann immer in der Jail des Projektes und nicht in der Jail für drei Projekte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben