Jails Layout Frage

lockdoc

Well-Known Member
Hallo,

wenn ich meine Daten endlich gerettet hab wuerd ich gerne einen neuen Multimedia Server aufsetzen, und damit es uebersichtlich bleibt und auch etwas sicherer wollte ich diesmal auf jails setzen.

Das erste Konzept was ich mir ueberlegt habe sieht erstmal so aus
Code:
(INTERNET)
   |
   |
-----------------          DMZ            -----------
|               |    192.168.1.0/24    ---| apache  |
| FreeBSD Host  |---------------------/   | (jail)  |
|               |                      \  -----------
-----------------                       \ -----------
        |                                -| mysql   |
        |                                 | (jail)  |
        |                                 -----------
        |
        |       LAN
        | 192.168.0.0/24
        |------------------------------------------------------------
        |        |            |            |           |             |
----------  -----------  ------------  ------------  ----------  -----------
| DNS    |  | Firefly |  | Samba    |  | LDAP     |  | SVN    |  | xorg    |
| DHCP   |  | MPD     |  | NFS      |  | Kerberos |  | (jail) |  | XMBC    |
| Avahi  |  | (jail)  |  | Netatalk |  | (jail)   |  |        |  |         |
| (jail) |  |         |  | (jail)   |  |          |  |        |  | (jail)  |
----------  -----------  ------------  ------------  ----------  -----------


LDAP/Kerberos sollen folgendes regeln:
Code:
-----------------------
| OpenLDAP | Kerberos |
-----------------------
|
|     ------------
|-----| SAMBA    |
|     ------------
|
|     ------------
|-----| NFS      |
|     ------------
|
|     ------------
|-----| Netatalk |
|     ------------
|
|     ------------
|-----| SVN      |
      ------------

Findet ihr den Jail-Aufbau so OK, oder wuerdet ihr da noch woanders trennen?
 
Hallo lockdoc,

DHCP, Avahi, LDAP, Kerberos würde ich nicht in eine Jail packen, weil diese Dienste vor dem Start der Jails zur Verfügung stehen sollten. XOrg funktioniert nicht in einer Jail.

JueDan
 
Geht Samba in einer Jail problemlos? Ich dachte irgendwo mal gegenteiliges gelesen zu haben (ohne weitere Begründung)...bin aber bisher noch nicht dazugekommen es mal selbst auszuprobieren.
 
Ich schließe mich cla an. Habe mir die Zähne an Samba in ner Jail ausgebissen. Es funktionierten bei mir lediglich die Freigaben, als DC habe ich es aber leider nicht geschafft, den Server zu betreiben. Er findet einfach die Domäne nicht, auch nicht mit WINS.
 
hmm, da schwindet mein Vorhaben :-(

Aber ich warte auf die 9er

@Juedan:
wer braucht denn DHCP, Avahi, LDAP und Kerberos, dass man beim start nicht darauf warten kann?
 
nfs in userspace: net/unfs3

Bei Samba hatte ich auch Probleme innerhalb einer jail.

Und Xorg kann meines Wissens nur auf dem Host laufen, aus Sicherheitsgründen besser auf einem anderen Rechner.
xhost und die DISPLAY Umgebungsvariable sind dein Helferlein.
 
Also:
- X.org in einem Jail geht wie gesagt nicht, da /dev/io aus gutem Grund innerhalb einer Jail nicht zur Verfügung steht. Es gibt in den Tiefen des Netzes Patches, die dort helfen, aber vom Sicherheitsstandpunkt aus gesehen ist es definitiv nicht zu empfehlen. Sinnvoller ist dort den eh mit extremen Privilegien laufenden Server-Prozess auf dem Host zu belassen und lediglich die Clients ins Jail zu sperren. Allerdings geht das ein wenig auf die Geschwindigkeit und ist Dingen wie DRM und XVideo nicht zuträglich.

- Samba läuft nicht in Jails, da es direkten Zugriff auf die NIC braucht. Mit vnet würde es gehen, allerdings halte ich es nach wie vor nicht in einem Zustand, in welchem man es generell produktiv einsetzen kann.

- NFS ist ähnlich wie Samba, es braucht Zugriff auf das NFS-Subsystem des Kernels. vnet hilft meines Wissens hier nicht, da NFS noch nicht virtualisiert ist. Bleibt also die oben genannte Userspace-Lösung.

Allerdings eine Frage: Wieso diese Dienste überhaupt in ein Jail? Einen wirklichen Sicherheitsgewinn erzielt man damit eh nicht, da sie sehr "streuen" und zumindest im Fall X.org und NFS ein Einbruch durchaus in einem "Jailbreak" enden kann. Un vom administrativen Standpunkt aus gesehen ist die Bindung zwischen Host und Dienst so groß, dass man kaum Abstraktion erreichen kann... Ich empfehle daher Dienste mit direktem oder indirektem Hardware- sowie Kernelzugriff nicht zu jailen, allerdings alles andere.
 
Sorry kurze Zwischenfrage.

Also ich spiele schon lange mit dem Gedanken mit Jails zu experiementieren, bislang hält mich aber der RAM von meinem Server ab das zu machen.
Wenn ich aber die aufstellung von lockdoc sehe kommt mir die frage sind Jails so leichtgewichtig oder hast du einen rechner mit ca. 1TiB RAM stehen :D
Wie viel ram muss ich den für eine Jail so ca einplanen? hatte vor zum test meinen Webserver in Bau zu schicken.
 
Rechne mal mit einigen wenigen MBs. Die jail selbst braucht an sich kaum speicher. Und der Kernel und die ganze Verwaltung läuft ja auch nur einmal. Also an sich reiner Verwaltungsoverhead. Den Speicher den deine libs und Programme brauchen hast du ob das nun in der Jail läuft oder nicht.
 
Jails brauchen so gut wie keinen RAM, nach heutigen Maßstäben. Das leere Jail an sich benötigt knappe 150 Kilobyte(!) Kernelspeicher, dann halt jeder Prozess darin seinen RAM. Für ein komplettes FreeBSD-Basissystem im Jail sind das zwischen 5 und 15 Megabyte. Auf jeder zeitgemäßen Kiste kann man buchstäblich hunderte bis tausende Jails hosten... Wenn man es wirklich drauf anlegt mit extrem wenig Speicher auszukommen, kann man dem VM noch unter die Arme greifen und Symlink-Orgien starten. Dann werden Bibliotheken und so wirklich für alle Jails nur einmal im RAM gehalten. Aber meiner Meinung nach ist es in zeiten von 8GB RAM für unter 40 Euro den Ärger nicht wert. Interessanter ist die Frage, wie viel Speicher die Dienste in den Jails so schlucken. Das muss man dann aber individuell betrachten.

EDIT: Ich hätte schneller tippen müssen. :)
 
Danke schön!

Ich denke das kann mein Server verkraften, ich werde mir dann doch mal die Tage Zeit nehmen. :)
 
hmm, da schwindet mein Vorhaben :-(

Aber ich warte auf die 9er

@Juedan:
wer braucht denn DHCP, Avahi, LDAP und Kerberos, dass man beim start nicht darauf warten kann?

DHCP läuft laut diesem Thread nicht in einer Jail: http://forums.freebsd.org/showthread.php?t=8901

LDAP wird von Samba für die Berechtigungen benötigt. Du mußt also den LDAP-Daemon vor Samba starten - eigene Erfahrung! Du kannst die Startreihenfolge in den Start-Skripten verändern, aber das ist ein ewiges Gefriemel, bis das passt.

Viele Grüße

JueDan
 
Zuletzt bearbeitet:
Samba im JAIL

Geht Samba in einer Jail problemlos? Ich dachte irgendwo mal gegenteiliges gelesen zu haben (ohne weitere Begründung)...bin aber bisher noch nicht dazugekommen es mal selbst auszuprobieren.

Ich bin erstaunt über Eure Meinung - SAMBA läuft problemlos im JAIL.
Ich nutze diese Konfiguration seit ca. 2 Jahren auf dem Server.

BoS
 
Doch ein DHCP Server kann in einer Jail betrieben werden, wenn er kein bpf sondern UDP/IP Sockets verwendet. Ich hatte mal einen ISC-DHCP so eingestellt das er das tat. Allerdings kann der Port dank Patches sich selbst um seine "Jail" kümmern und gibt seine Rechte nach dem Öffnen der Sockets auf. Sieh mal in das RC Script wie du das erreichst.
 
Moin,
also sowohl Samba (z.B. mit LDAP), und DHCP sind in einer Jail problemlos möglich. NFS und Xorg haben in Jails nicht wirklich was verloren. Das verhält sich wie mit der Katze auf dem Baum - gehen tut das nur wenn man dann benutze Kettensäge mit Baum betreibt mag die Katze das nicht wirklich und falls der Baum dann noch auf die Katze knallt wars das.
Gruß Bummibär
 
Hi,

also bei Jails mit Samba wo die Jail eine öffentliche routefähige IP Adresse nebst korrekter DNS Zonen Einträge hat ging das bisher immer ohne Probleme. Ich vermute mal die meisten Bärchen haben da Probleme weil sie das über private IP Adressen versucht haben und mit Firewall und NAT Pakete rumschubsen. Mit WINS Support und ohne DNS Proxy lief das auf jeden Fall schon. Wichtig ist eigentlich nur in der Samba Konfig unbedingt darauf zu achten, dass die interfaces dort eingetragen sind in Form der IP bzw. IPs - dann sollte das problemlos auch auf aktuellen BSD Versionen funktionieren. Getestet han ich das zuletzt mit FreeBSD 8.2-p2 vor geraumer Zeit.

Gruß Bummibär
 
Zuletzt bearbeitet:
Samba im JAIL

Namensauflösung per DNS und WINS ohne Probleme im privaten Netzt mit 10.x.x.x.

Bummi - ne Kettensäge mach viel Lärm, Samba eingesperrt wenig, weil es dadurch etwas sicherer ist :)
Routing und ähnliches geht ohne Einschränkung - mann muss halt nur ein wenig mehr lesen .... :)

cu,
BoS
 
Nachtrag:

Ich habe jetzt das obige Konzept (noch etwas ausgereifter) erfolgreich im Einsatz.
Die LDAP Jail wird einfach als erste gestartet und danach der Rest.
Samb, SSH-Logins und Git sind alle an den LDAP gekoppelt und jeder service ist praktisch eine eigene Jail, so dass man einzelne Sachen problemlos austauschen kann, ohne andere Dienste zu beeinflussen.
 
Zurück
Oben