jail_sysvipc_allow="YES" für nur eine Jail

[spacetux]

Hallo zusammen,

ich bin gerade dabei unter FreeBSD 6.1 mehrere Jails einzurichten. In einer der Jails soll auch PostgreSQL laufen. Da man für die PostgreSQL sysvipc aktivieren muss habe ich dies auch getan. Ich würde es jedoch vorziehen, dies wenn möglich, nur für die betreffende Jail zu tun. In den andere Jails ist die sysvipc nicht notwendig.
Hat jemand von Euch diesbezüglich Erfahrungen zu diesem Problem oder Tipps die mir weiterhelfen könnten?

Danke und Gruß

spacetux

 

[max93]

Hallo!

Das geht leider nicht. Du kannst sysvipc entweder in allen Jails zulassen, oder eben nicht. Jails sind halt doch nur eingesperrte Prozesse.

Ciao.
Markus Mann
];-)

 

[Maledictus]

Patches very welcome

 

[Elessar]

yo, send diff.

 

[spacetux]

Hhmmm, dann sollte ich mihc so langsam mal mit c und den jailquellen befassen ;-)
Hat jemand von Euch schon mal das Programm "jail" einzeln und gezielt übersetzt? Evtl. besteht ja die Möglichkeit sysvipc beim übersetzen außen vor zu lassen und so eine zweite Version des "jail"-Programmes ohne sysvipc zu compilieren. Das zieht allerdings ein eigenes Startskript nach sich... .

Gruß

spacetux

 

[Maledictus]

Es ist kein Userland Problem!

 

[indy]

Für PostgreSQL gibt's keinen Grund für einen Jail.
Maximal ein chroot auf dem Host, aber selbst das bringt nichts nennenswertes.

Gruss...

Der Indy

 

[Maledictus]

Wieso das denn? Bzw. wieso gelten nicht die gleichen Punkte wie für andere Dienste?

 

[rosa]

Herrlich diese Pauschalisierungen die nicht mal was mit der Fragestellung des Topicerstellers zutun hat.

Auf einer Entwicklerkiste zB. könnte das durchaus einen Sinn ergeben.
Um zB. in der Lage zu sein ganz schnell verschiedene Versionen/Einstellungen etc. aus zu tauschen.

 

[indy]

> Auf einer Entwicklerkiste zB. könnte das durchaus einen Sinn ergeben.

Da ist die Frage wegen des jail_sysvipc_allow="YES" dann aber nicht nötig, da macht man das dann einfach ;-)

Gruss...

Der Indy

 

[spacetux]

Hallo zusammen

ich glaube ich sollte einfach mal kurz meinen Gadankengang der zu meiner Frage führte erläutern:
Die Jails sind eine Weiterentwicklung des chroot-Konzeptes - meiner Meinung nach eine sehr geniale Weiterentwicklung. In einer Chrootumgebung kann ich Prozesse in einem Ast des Verzeichnisbaumes starten. Der Prozess kann diese Ast nicht verlassen. Jails gehehn da noch weiter, über IP-Adressen kann man sogar virtuelle Rechner simulieren.
Meine Auffassung (möglich dass ich da auch was missverstanden habe ) des Jail-Konzeptes ist, dass hier eine ganze "Prozesskette" derart vom restlichen System abgeschottet werden soll, dass keine Kommunikation so ohne weiteres zum Rest des Systemes möglich ist, es sei denn man gibt das gezielt frei. Sysvipc jedoch integriert eher eine Jail in das restliche System, als dass die Jail abgeschottet wird (bittet korrigiert mich, wenn ich das falsch verstanden habe), da hier eine direkte Kommunikation zu anderen Prozessen die nicht in der Jail laufen, statt finden kann. Gut, dagegen halten kann man mit Sicherheit, dass sowieso alles auf einem Kernel läuft . Aber eine solche Kommunikation ist gerade bei PostgrSQL notwendig. Deshalb dachte ich man könnte das ganze evtl. auf eine Jail gezielt einschränken.
Das das wegen des sysctl's nur global für das ganze System geht (steht in der Manpage von Jail - danke für den Tip mit dem Userland Maledictus ) stellt meiner Meinung nach das Konzept für das Abgrenzen der Jails vom restlichen System ein klein wenig in Frage. Jetzt stellen sich zwei Fragen:
1. Wie weit macht es Sinn eine "Virtualisierung" mittels Jails auf einem Kernel zu betreiben?
und 2. Wie weit kann man eine solche "Virtualisierung" treiben, bzw. lässt sich eine solche "Virtualisierung" noch weiter ausbauen?
Zur zweiten Frage ließe sich mit Sicherheit eine sehr Interessante Diskussion starten, in wie weit im Rahmen einer solchen Virtualisierung, Funktionen die eigentlich der Kernel übernimmt, in den Userspace auszulagern um eine noch stärkere Trennung vom Betreibssystem und den Jails zu bekommen. Ein mögliches Ziel könnte da Xen heißen, aber da hat man ja mehrere Kernel laufen.

Wie steht Ihr zu den Möglichkeiten der Jails?

Gruß

spacetux

 

[Maledictus]

Ich mag Jails sehr sehr gerne. Haben im Gegensatz zu Xen und vielen anderen Methoden keinerlei Performanceeinbußen und sind extrem leicht einzurichten. Im Gegensatz zu chroot sperrt ein Jail auch Programme mit root rechten ein (aus chroots können diese ausbrechen). Jails haben aber leider auch Schwachpunkte, von denen ich und viele andere hoffen, dass sie irgendwann beseitigt werden:
- IPv6
- mehrere IP Adresse
- SYSVIPC

Diese Probleme kommen einem allerdings recht selten in den Weg, es seidenn man will PostgreSQL in ner Jail betreiben

 

[spacetux]

naja, auf die postgreSQL soll über das Netzwerk zugegriffen werden, und wenn ich schon alle Serverdienste ins Gefängniss bringe, dann sollte auch die PostgreSQL hinter Gitter