PutMeInJail
New Member
Hallo euch,
ich versuche mich momentan ein wenig mit dem Thema Jails auseinanderzusetzen.
Als ich mich also etwas näher damit befasst habe stellte ich schnell fest das es diverse Wege gibt Jails zu realisieren.
Neben der klassichen Methode jede Jail aus den Sourcen zu kompilieren oder über die Binärpakete (base, etc.) aufzusetzen, gibt es grad die für "service jails" interessante Methode möglichst viel über nullfs mit einer basejail zu "sharen"
Für die einfachere Erstellung/Verwaltung von Jails gibt es dann noch diverse Tools wie z.B ez-jail und/oder qjail.
Als dann noch die verschiedenen Jail Konfigurationen über rc.conf vs.der neuen (aktuellen) Methode via jail.conf hinzukamen war ich offen gestanden, eingangs etwas überfordert.
Ich habe mich also letztendlich erstmal dafür entschieden eine Jail über den klassischen manuellen Weg aufzusetzen um erstmal ein grundlegendes Verständnis und Gefühl für die Funktionsweise zu bekommen.
Ich bin zwar durchaus relativ gut vorwärts gekommen aber würde ganz gerne mit eurer Hilfe ein paar Verständnisfragen und Probleme beim erstellen der Jail aus dem Weg räumen:
Problem:
Beim erstellen der Jail (jail -c $jailname) erhalte ich immer die Fehlermeldung
ln: /dev/log Operation not permitted
Soweit mein Verständnis reicht, hat das etwas damit zu tun das /dev/log im Hostsystem über einen symbolischen Link realisiert wird der in der Jail allerdings nicht funktioniert und es deshalb zu dieser Fehlermeldung kommt.
Kann ich dieses Problem irgendwie lösen in dem ich evtl. syslogd anders konfiguriere?
Angeblich sollte es sich dabei um einen "Bug" handeln der mittlerweile gefixt wurde
(siehe auch https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=179828) aber das Problem existiert scheinbar in
FreeBSD 10.1 nach wie vor.
Frage:
Meine Jails laufen auf einem VPS auf der mir nur eine "öffentliche IP" zur Verfügung steht.
Um nun mehrere Jails zu realisieren wäre doch die richtige Herangehensweise Aliase auf meinen Netzwerkinterfaces zu erstellen und diesen IPs aus dem privaten Adressraum zuzuweisen. Letztendlich redirecte ich dann mittels Pf Anfragen auf bestimmten Ports an die jeweilige Jail.
Gibt es noch andere Lösungsansätze oder ist das eben beschriebene quasi "common-practice"?
Ist es dabei prinzipiell egal ob ich den Alias auf dem Loopback Interface oder auf den physischen Netzwerkadapter erstelle?
Frage:
In Service Jails kann ich doch grundsätzlich mittels sendmail_enable="NONE", den sendmail daemon komplett deaktivieren oder ist das mit Problemen zu rechnen, sodass ich eventuell eher sendmail_enable="NO" verwenden sollte?
Vorab viele Dank schon einmal für die Beantwortung meiner Fragen und eure Hilfestellungen
ich versuche mich momentan ein wenig mit dem Thema Jails auseinanderzusetzen.
Als ich mich also etwas näher damit befasst habe stellte ich schnell fest das es diverse Wege gibt Jails zu realisieren.
Neben der klassichen Methode jede Jail aus den Sourcen zu kompilieren oder über die Binärpakete (base, etc.) aufzusetzen, gibt es grad die für "service jails" interessante Methode möglichst viel über nullfs mit einer basejail zu "sharen"
Für die einfachere Erstellung/Verwaltung von Jails gibt es dann noch diverse Tools wie z.B ez-jail und/oder qjail.
Als dann noch die verschiedenen Jail Konfigurationen über rc.conf vs.der neuen (aktuellen) Methode via jail.conf hinzukamen war ich offen gestanden, eingangs etwas überfordert.
Ich habe mich also letztendlich erstmal dafür entschieden eine Jail über den klassischen manuellen Weg aufzusetzen um erstmal ein grundlegendes Verständnis und Gefühl für die Funktionsweise zu bekommen.
Ich bin zwar durchaus relativ gut vorwärts gekommen aber würde ganz gerne mit eurer Hilfe ein paar Verständnisfragen und Probleme beim erstellen der Jail aus dem Weg räumen:
Problem:
Beim erstellen der Jail (jail -c $jailname) erhalte ich immer die Fehlermeldung
ln: /dev/log Operation not permitted
Soweit mein Verständnis reicht, hat das etwas damit zu tun das /dev/log im Hostsystem über einen symbolischen Link realisiert wird der in der Jail allerdings nicht funktioniert und es deshalb zu dieser Fehlermeldung kommt.
Kann ich dieses Problem irgendwie lösen in dem ich evtl. syslogd anders konfiguriere?
Angeblich sollte es sich dabei um einen "Bug" handeln der mittlerweile gefixt wurde
(siehe auch https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=179828) aber das Problem existiert scheinbar in
FreeBSD 10.1 nach wie vor.
Frage:
Meine Jails laufen auf einem VPS auf der mir nur eine "öffentliche IP" zur Verfügung steht.
Um nun mehrere Jails zu realisieren wäre doch die richtige Herangehensweise Aliase auf meinen Netzwerkinterfaces zu erstellen und diesen IPs aus dem privaten Adressraum zuzuweisen. Letztendlich redirecte ich dann mittels Pf Anfragen auf bestimmten Ports an die jeweilige Jail.
Gibt es noch andere Lösungsansätze oder ist das eben beschriebene quasi "common-practice"?
Ist es dabei prinzipiell egal ob ich den Alias auf dem Loopback Interface oder auf den physischen Netzwerkadapter erstelle?
Frage:
In Service Jails kann ich doch grundsätzlich mittels sendmail_enable="NONE", den sendmail daemon komplett deaktivieren oder ist das mit Problemen zu rechnen, sodass ich eventuell eher sendmail_enable="NO" verwenden sollte?
Vorab viele Dank schon einmal für die Beantwortung meiner Fragen und eure Hilfestellungen
