JAILS: Neues Jail Howto (17.08.2004)

asg

asg

push it, don´t hype
Unter http://www.encephalon.de/ liegt ein neues Howto zu den FreeBSD Jails bereit.

Diese umfasst folgende Änderungen:
- FAQ hinzugefügt (wird noch erweitert)
- Neuen sysctl MIBs hinzugefügt
- "ping", "traceroute" geht in einer Jail
- kleinere Fixes
- Verbesserungen, mehr Beispiele

Direkter Link zum Dokument (PDF):
http://www.encephalon.de/freebsd/jails.pdf
Highspeed: http://grunix-mirror.bummi-net.de/freebsd/jails.pdf

Direkter Link zum Dokument (HTML):
http://www.encephalon.de/freebsd/jails-html/index.html
Highspeed: http://grunix-mirror.bummi-net.de/freebsd/jails-html/jails.html
 
schön! das es jetzt auch als html zur verfüngung steht.
nochmals ein dickes danke :)

werde es die nächsten tage mal durcharbeiten, denn ein
paar dinge sind mir da noch unklar bzw. funktionieren einfach nicht.
vieleicht hat ja auch jemand noch ne idee:
ich habe derzeitig ein jail mit xserver eingerichtet, um auf meinen
altersschwachen rechnern darauf zu arbeiten. funktioniert soweit
auch alles wunderbar, aber nach einer unbestimmten zeit funktioniert
die namensauflösung nicht mehr (namesserver läuft auf dem wirtssystem).
selbst ein neustart des jails, bewegt den namensserver zu keiner anwort mehr...
= sicherlich nur ein konfigurationsproblem, aber vieleicht kennt ihr das ja,
ansonsten werde ich, wie schon erwähnt, demnächst einfach die anleitung
durchgehen.

bis denne, danny
 
Großartige Anleitung, hab Sie hier neben mir ausgedruckt liegen und nach ihr
erfolgreich jails aufgesetzt, danke asg!

Eine Sache ist mir bei der Arbeit damit aufgefallen:
Auf Seite 10 (2. Kapitel Erstellung einer Jail) steht, dass
man mit
Code: 
make world DESTDIR=~
make installworld DESTDIR=~
die Jail erstellt.
Bei mir unter 5.3 beta5 lief das so nicht. Stattdessen musste
ich
Code: 
make buildworld
make installworld DESTDIR=~
verwenden.
Das Problem ist bekannt und wurde auch beschrieben
http://lists.freebsd.org/pipermail/freebsd-current/2004-August/034574.html
(allerdings unter 6.0 ?, k.A. wieso das unter 5.3 auch ist, aber die Error-Meldung
ist identisch)

Ich weiß nicht, ob es nützt, aber bei wir war es wie gesagt ein Problem,
vielleicht kann man das genauer klären und mit in die Anleitung aufnehmen.
Ist ja immer ziemlich frustrierend, wenn der erste Schritt fehlschlägt ;o)

bis bald,
jo
 
@_jo
Interessant und gut zu wissen. Unter FreeBSD 5.3-BETA1 hat der Bau einer Jail noch ohne Probleme mit beschriebenen Weg funktioniert.
Werde ich am Montag mal auf einer BET6 probieren.
Danke für den Hinweis.
 
Vielen Dank für das HOWTO, ich habe hier auf meinem Server unterdessen 5 Jails am laufen und bin absolut happy damit :-) Ein Problem habe bez. hatte ich noch: ich lasse mir jede Nacht einen aktuellen Securitystatus aller installierten Ports via portaudit zumailen.
Nun habe ich das Problem, dass nur die Ports vom Basissystem überprüft werden und nicht auch die von den Jails (was ja eigentlich logisch ist). Ich habe etwas herumgespielt und herausgefunden, dass man mit einem einfachen
Code: 
ls | portaudit
auch einen Securitystatus erhält, also im Prinzip:
Code: 
aurbod@DrSweety-Server:...var/db/pkg>pwd
/jails/www/var/db/pkg
aurbod@DrSweety-Server:...var/db/pkg>ls | portaudit
0 problem(s) in your installed packages found.
Dies könnte man nun verwenden, um das periodic Script (welches ja täglich die Mails versendet) auf dem Hostsystem entsprechend abzuändern, so dass man auch täglich einen aktuellen Securitystatus der installierten Ports in den Jails erhält. Was mich nun interessieren würde, wie ihr das genau handhabt? Wie überwacht ihr die Jails auf Securitylücken, fehlerhafte Logins etc.?
 
Hallo Dr.Sweety,

deine Idee mit portaudit klappt bei mir nicht.
Er zeigt nur die betroffenen Packete auf dem Hauptsystem an.
(Ich hab das überprüft, indem ich einmal portaudit auf dem Basis-
system und dann in der jail ausgeführt hab.)
Falls man keine betroffene Software drauf hat, merkt man nichts, aber
bei mir war in der jail was ;o)

Ich würde die portaudit-Berichte ansonsten in eine Datei ausgeben lassen, die
dann vom Basissystem ausgewertet und zusammen mit denen der anderen jails
verschickt wird.

Vielleicht gibt es ja noch eine andere Möglichkeit, bei chkrootkit kann man ja auch
das Wurzelverzeichnis angeben.
mfG
jo
 
@Dr.Sweety & _jo

Ich habe das wie folgt gelöst: Ich lasse einfach alles system-mails an meine e-mail-adresse weiterleiten. Ich bekomme so jeden Tag von jedem (virtuellen) System alle Nachrichten, also auch den Sicherheitsstatus. Bei hier 4 Jails kann das aber schon nerven. Man bekommt unter anderem auch jeden Tag den Output von periodic/daily.

Gruß, I.MC
 
@_jo: hmmmm, sehr komisch. Bei mir klappt das nämlich wunderbar. Ich habe noch mein abgewandeltes portaudit script für periodic angehängt (befindet sich defaultmässig unter /usr/local/etc/periodic/security), damit bekomme ich jeweils die portaudits von allen Shells (und das klappt erwiesenermassen!).

@I.MC: das habe ich mir am Anfang auch überlegt, aber da ich 5 Jails habe ist das irgendwie nicht mehr praktikabel, ich will nicht jeden Morgen 12 System Mails durchlesen. Darum hat es mich eben wunder genommen, wie das andere Leute handhaben. Ich meine, in einer grossen Firma mit zig Jails muss doch das auch irgendwie gelöst sein :confused:

P.S: das portaudit Script ist überhaupt nicht perfekt, es funktioniert aber bei mir und ich hoffe, ich kann damit andere inspirieren :)
 

Anhänge

  • 410.portaudit.txt
    2,5 KB · Aufrufe: 512
Skript funktioniert hier gut. Verstehe nur nicht wieso das mit "portaudit *" gehen kann... aber es tut :-)

Gruß, I.MC
 
@asg

Ich kann mich meinen Vorpostern nur anschliessen: Danke für die sehr gute und informative Anleitung zum Erstellen der Jails. Habe mich bisher immer davor gedrückt, da ich annahm dass es relativ kompliziert sei. Aber dank der Anleitung habe ich meine erste Jail in relativ kurzer Zeit zum werkeln gebracht. Einzig der Punkt "make world DESTDIR=~ make installworld DESTDIR=~" brachte mich kurz aus dem Tritt ;) Aber dank der Forensuche ging auch diese Starthürde aus dem Weg ;)

Ein zufriedener Jail-User mehr :D

Greets, s_e
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben