Welche Anwendungen laufen in einer jail?

m3t3or

The Crazed
Hallo,

mich würde mal interessieren was in einer jail läuft und was nicht.
Steht hier schon alles, was es zu wissen gibt?

Was ist sinnvoll in einer jail laufen zu lassen?
Was habt ihr in einer jail zu laufen .

Danke für die Aufmerksamkeit :D
 
Zuletzt bearbeitet:
Hi m3t3or!

Anfangs erschien mir dieses JailThema sehr kompliziert, aber ich habe jetzt schon seit längerem nach der anleitung von asg jails aufgesetzt.

Folgende Jails habe ich mit FreeBSD 4.10 Stable im einsatz. Ich weiß nicht ob das so sinnvoll ist, aber ich komme am besten damit klar.:

www: webserver + ftp usw
sql: mysqlserver
mail: qmailserver
sandbox: testjail
irc: bouncer, eggdrop, usw.

Später will ich noch samba in ne Jail packen. Irgendwo im Netz habe ich was gelesen dass es doch geht.

Vielleicht hilft dir das.

David
 
Morgen,

m3t3or schrieb:
Hallo,

mich würde mal interessieren was in einer jail läuft und was nicht.

Folgendes bezieht sich auf FreeBSD 4.*
Ich weiss nicht, ob es unter 5* noch genauso ist, das sollte am besten jemand verifizieren.

Eines steht in den ganzen Anleitungen meist nicht: Programme, die sehr semaphorenstark sind, sind nicht sinnvoll in Jails. Bestes Beispiel ist PostgreSQL.

Grund: Um die Aplikation zum Laufen zu bringen musst du jail.sysvipc_allowed=1 setzen, was zur Folge hat, dass man aus der Jail auf Shared memory Objekte des Hostsystems zugreifen kann.

CU

Martin
 
m3t3or schrieb:
Hallo,

mich würde mal interessieren was in einer jail läuft und was nicht.
Da gibt es keine Liste mit Anspruch auf Vollständigkeit.
Steht hier schon alles, was es zu wissen gibt?
Bis auf NFS/Samba sind das ja alles nur Dienste, die eben default auf allen Interfaces lauschen. PostgreSQL ist da zB problematischer, das braucht SysV Shared Memory, was dann wiederrum die Jail schwächt.
 
Bei mir läuft die komplette Mailbehandlung in einer Jail:

- fetchmail
- postfix
- amavisd-new (mit Antivir und ClamAV)
- spamassassin
- Cyrus-Imapd

In einer anderen läuft sozusagen alles was mit web zu tun hat

- squid
- squidguard
- apache
- mysql
- php
- named


Da selbst über Sinn und Unsinn einer Jail gestritten wird, ist die Frage nach den darin betriebenen Anwendungen nicht wirklich pauschal zu beantworten.
 
Also liebe Leute, wir sind uns doch wohl ziemlich einig darüber, daß bind zwanghaft in eine jail gehört.....

Ebenso gehören Datenbanken (egal welche, auch Postgre) in eine jail, wenn man mehrere jails hat, aber nicht in jede eine Datenbank packen will/kann, weil sie gemeinsam von mehreren jails genutzt werden soll/muss. ;)
 
Morgen,

Daniel Seuffert schrieb:
Ebenso gehören Datenbanken (egal welche, auch Postgre) in eine jail, wenn man mehrere jails hat, aber nicht in jede eine Datenbank packen will/kann, weil sie gemeinsam von mehreren jails genutzt werden soll/muss. ;)

Dem wiederspreche ich vehement!
Ich installiere lieber eine Datanbank zwei mal in unterschiedlichen Jails, als die DBs anders als über ein UNIX Socket anzusprechen. In diesen Fragen gibt es kein richtig oder falsch - das muss jeder für sich wissen.

CU

Martin
 
@troll: Du kannst den Zugriff auf deine DB auf IPs etc. beschränken... Und was machst Du, wenn Du einen eigenen Datenbankserver brauchst, weil deine DB sehr groß wird, die Arbeit einstellen? Und was tust Du, wenn Du nicht genügend Platz in deienr jail/jails hast? Also wenn Dir das alles so riskant erscheint, dann verwende liebr gar keine DB, dann bis Du SQL-injections, bugs und dergleichen auch gleich los. :)
 
Daniel Seuffert schrieb:
Und was machst Du, wenn Du einen eigenen Datenbankserver brauchst, weil deine DB sehr groß wird, die Arbeit einstellen? Und was tust Du, wenn Du nicht genügend Platz in deienr jail/jails hast? Also wenn Dir das alles so riskant erscheint, dann verwende liebr gar keine DB, dann bis Du SQL-injections, bugs und dergleichen auch gleich los. :)

Das sind alles "wenns". Und genau das meinte ich. Jeder Einzelfall muss gesondert entschieden werden. Es gibt keine goldene Regel, die immer richtig ist und besagt, dass Datenbanken grundsätzlich in Jails gehören.

CU

Martin
 
Zurück
Oben