Welche Anwendungen laufen in einer jail?
- Ersteller m3t3or
- Erstellt am
daiv
AgainstAllAuthority
Hi m3t3or!
Anfangs erschien mir dieses JailThema sehr kompliziert, aber ich habe jetzt schon seit längerem nach der anleitung von asg jails aufgesetzt.
Folgende Jails habe ich mit FreeBSD 4.10 Stable im einsatz. Ich weiß nicht ob das so sinnvoll ist, aber ich komme am besten damit klar.:
www: webserver + ftp usw
sql: mysqlserver
mail: qmailserver
sandbox: testjail
irc: bouncer, eggdrop, usw.
Später will ich noch samba in ne Jail packen. Irgendwo im Netz habe ich was gelesen dass es doch geht.
Vielleicht hilft dir das.
David
Anfangs erschien mir dieses JailThema sehr kompliziert, aber ich habe jetzt schon seit längerem nach der anleitung von asg jails aufgesetzt.
Folgende Jails habe ich mit FreeBSD 4.10 Stable im einsatz. Ich weiß nicht ob das so sinnvoll ist, aber ich komme am besten damit klar.:
www: webserver + ftp usw
sql: mysqlserver
mail: qmailserver
sandbox: testjail
irc: bouncer, eggdrop, usw.
Später will ich noch samba in ne Jail packen. Irgendwo im Netz habe ich was gelesen dass es doch geht.
Vielleicht hilft dir das.
David
troll
Well-Known Member
Morgen,
Folgendes bezieht sich auf FreeBSD 4.*
Ich weiss nicht, ob es unter 5* noch genauso ist, das sollte am besten jemand verifizieren.
Eines steht in den ganzen Anleitungen meist nicht: Programme, die sehr semaphorenstark sind, sind nicht sinnvoll in Jails. Bestes Beispiel ist PostgreSQL.
Grund: Um die Aplikation zum Laufen zu bringen musst du jail.sysvipc_allowed=1 setzen, was zur Folge hat, dass man aus der Jail auf Shared memory Objekte des Hostsystems zugreifen kann.
CU
Martin
m3t3or schrieb:
Folgendes bezieht sich auf FreeBSD 4.*
Ich weiss nicht, ob es unter 5* noch genauso ist, das sollte am besten jemand verifizieren.
Eines steht in den ganzen Anleitungen meist nicht: Programme, die sehr semaphorenstark sind, sind nicht sinnvoll in Jails. Bestes Beispiel ist PostgreSQL.
Grund: Um die Aplikation zum Laufen zu bringen musst du jail.sysvipc_allowed=1 setzen, was zur Folge hat, dass man aus der Jail auf Shared memory Objekte des Hostsystems zugreifen kann.
CU
Martin
Elessar
Huldigt dem _/\_
Da gibt es keine Liste mit Anspruch auf Vollständigkeit.m3t3or schrieb:
Bis auf NFS/Samba sind das ja alles nur Dienste, die eben default auf allen Interfaces lauschen. PostgreSQL ist da zB problematischer, das braucht SysV Shared Memory, was dann wiederrum die Jail schwächt.
XPectIT
the just
Bei mir läuft die komplette Mailbehandlung in einer Jail:
- fetchmail
- postfix
- amavisd-new (mit Antivir und ClamAV)
- spamassassin
- Cyrus-Imapd
In einer anderen läuft sozusagen alles was mit web zu tun hat
- squid
- squidguard
- apache
- mysql
- php
- named
Da selbst über Sinn und Unsinn einer Jail gestritten wird, ist die Frage nach den darin betriebenen Anwendungen nicht wirklich pauschal zu beantworten.
- fetchmail
- postfix
- amavisd-new (mit Antivir und ClamAV)
- spamassassin
- Cyrus-Imapd
In einer anderen läuft sozusagen alles was mit web zu tun hat
- squid
- squidguard
- apache
- mysql
- php
- named
Da selbst über Sinn und Unsinn einer Jail gestritten wird, ist die Frage nach den darin betriebenen Anwendungen nicht wirklich pauschal zu beantworten.
Daniel Seuffert
Well-Known Member
Also liebe Leute, wir sind uns doch wohl ziemlich einig darüber, daß bind zwanghaft in eine jail gehört.....
Ebenso gehören Datenbanken (egal welche, auch Postgre) in eine jail, wenn man mehrere jails hat, aber nicht in jede eine Datenbank packen will/kann, weil sie gemeinsam von mehreren jails genutzt werden soll/muss.
Ebenso gehören Datenbanken (egal welche, auch Postgre) in eine jail, wenn man mehrere jails hat, aber nicht in jede eine Datenbank packen will/kann, weil sie gemeinsam von mehreren jails genutzt werden soll/muss.
troll
Well-Known Member
Morgen,
Dem wiederspreche ich vehement!
Ich installiere lieber eine Datanbank zwei mal in unterschiedlichen Jails, als die DBs anders als über ein UNIX Socket anzusprechen. In diesen Fragen gibt es kein richtig oder falsch - das muss jeder für sich wissen.
CU
Martin
Daniel Seuffert schrieb:Ebenso gehören Datenbanken (egal welche, auch Postgre) in eine jail, wenn man mehrere jails hat, aber nicht in jede eine Datenbank packen will/kann, weil sie gemeinsam von mehreren jails genutzt werden soll/muss.
Dem wiederspreche ich vehement!
Ich installiere lieber eine Datanbank zwei mal in unterschiedlichen Jails, als die DBs anders als über ein UNIX Socket anzusprechen. In diesen Fragen gibt es kein richtig oder falsch - das muss jeder für sich wissen.
CU
Martin
Daniel Seuffert
Well-Known Member
@troll: Du kannst den Zugriff auf deine DB auf IPs etc. beschränken... Und was machst Du, wenn Du einen eigenen Datenbankserver brauchst, weil deine DB sehr groß wird, die Arbeit einstellen? Und was tust Du, wenn Du nicht genügend Platz in deienr jail/jails hast? Also wenn Dir das alles so riskant erscheint, dann verwende liebr gar keine DB, dann bis Du SQL-injections, bugs und dergleichen auch gleich los. 
troll
Well-Known Member
Daniel Seuffert schrieb:Und was machst Du, wenn Du einen eigenen Datenbankserver brauchst, weil deine DB sehr groß wird, die Arbeit einstellen? Und was tust Du, wenn Du nicht genügend Platz in deienr jail/jails hast? Also wenn Dir das alles so riskant erscheint, dann verwende liebr gar keine DB, dann bis Du SQL-injections, bugs und dergleichen auch gleich los.
Das sind alles "wenns". Und genau das meinte ich. Jeder Einzelfall muss gesondert entschieden werden. Es gibt keine goldene Regel, die immer richtig ist und besagt, dass Datenbanken grundsätzlich in Jails gehören.
CU
Martin