jail

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Richmond
проходил мимо

Re: jail

Непрочитанное сообщение Richmond » 2009-03-16 12:05:54

Хочу, чтоб какой-либо сервер (p2p,apache,etc) был доступен из jail'а по ip сервера, где этот jail крутится. Как понял, единственный способ - это форвардить порты фаером с ip сервера на порты jail'а? Или может еще какие-нибудь механизмы есть?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35090
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: jail

Непрочитанное сообщение Alex Keda » 2009-03-16 12:24:01

прокси
Убей их всех! Бог потом рассортирует...

Richmond
проходил мимо

Re: jail

Непрочитанное сообщение Richmond » 2009-03-16 15:22:14

Нашел опцию в мане ipfw

Код: Выделить всё

     jail prisonID
	     Matches all TCP or UDP packets sent by or received for the jail
	     whos prison ID is prisonID.

Richmond
проходил мимо

Re: jail

Непрочитанное сообщение Richmond » 2009-03-19 15:39:21

Возникла такая проблема с ezjail'ом. Он создает символьную ссылку на другую сивольную ссылку на /etc/ports/. При попытке доступа из клетки к коллекции портов выдает ошибку, что слишком много символьных ссылок. Как некоторое решение, скопировал порты в basejail вместо ссылки. Кто-нибудь знает в чем проблема и как ее решить?

Richmond
проходил мимо

Re: jail

Непрочитанное сообщение Richmond » 2009-03-19 15:53:16

mount_nullfs - тоже не выход

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: jail

Непрочитанное сообщение reLax » 2009-03-19 18:10:02

Richmond писал(а):mount_nullfs - тоже не выход
Отчего же, по каким религиозным соображениям ?

Belchik
проходил мимо
Сообщения: 4
Зарегистрирован: 2008-12-25 1:34:27

Re: jail

Непрочитанное сообщение Belchik » 2009-03-20 16:52:31

Подскажите, можно ли сделать так, чтобы com-порты были доступны в jaile?

avia21
рядовой
Сообщения: 40
Зарегистрирован: 2008-03-16 21:25:21
Откуда: Улан-Удэ
Контактная информация:

Re: jail

Непрочитанное сообщение avia21 » 2009-03-21 12:59:21

Уважаемые форумчане, возникла необходимость в jail' ах, завел все поднял, с этим все ок!
Но вот проблема нужны файловые квоты на каждый джейл, или хотя бы на домашние каталоги пользователей в джейлах, как реализовать?

знаю что в джейлах не возможно поставить квоты, только из родительской машины, по теме читал
http://lists.freebsd.org/pipermail/free ... 16308.html
http://unix.derkeiler.com/Mailing-Lists ... 00848.html
http://lists.freebsd.org/pipermail/free ... 03626.html

Поробовал как описано, что то не вышло, может не так что то понял. Надеюсь что откликнетесь.
Изображение

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: jail

Непрочитанное сообщение reLax » 2009-03-21 20:23:13

# mount

для начала

а потом http://www.freebsd.org/doc/en_US.ISO885 ... uotas.html

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-22 9:37:29

посдкажите можно ограничить CPU и RAM в jail?
(причина: apache свапит сильно до 300 -400- 500 -600 -Mb бывает, попробовать как оно будет если ресурсы ограничть в jail)

кто ставил, какие патчи нужны? кстате в 8.0 там добавлии много слышал, может там есть сразу?

есть патчи старые для 6.x
вот написано для 7.0:
http://lists.freebsd.org/pipermail/free ... 00333.html

но там патч одним файлом, выдет ошибки при запуске

Url : http://lists.freebsd.org/pipermail/free ... its_70.bin

http://wiki.freebsd.org/Jails

Код: Выделить всё

chmod 750 ./memory_limits_70.bin

Код: Выделить всё

# ./memory_limits_70.bin
diff: src.old/lib/libc/sys/Symbol.map: No such file or directory
diff: src.new/lib/libc/sys/Symbol.map: No such file or directory
---: not found
+++: not found
@@: not found
issetugid: not found
usage: jail [-i] [-J jid_file] [-s securelevel] [-l -u username | -U username] path hostname ip-number command ...
jail_attach: not found
+: not found
LINES="24"
acpi_load="YES"
bootfile="kernel"
comconsole_speed="9600"
console="vidconsole"
currdev="disk1s1a:"
ddb.panic="5"
hint.acpi.0.oem="IntelR"
hint.acpi.0.revision="1"
hint.acpi.0.rsdp="0xf6c40"
hint.acpi.0.rsdt="0x0fff3000"
hint.adv.0.at="isa"
hint.adv.0.disabled="1"
hint.aha.0.at="isa"
hint.aha.0.disabled="1"
hint.aic.0.at="isa"
hint.aic.0.disabled="1"
hint.apm.0.disabled="1"
hint.apm.0.flags="0x20"
hint.ata.0.at="isa"
hint.ata.0.irq="14"
hint.ata.0.port="0x1F0"
hint.ata.1.at="isa"
hint.ata.1.irq="15"
hint.ata.1.port="0x170"
hint.atkbd.0.at="atkbdc"
hint.atkbd.0.irq="1"
hint.atkbdc.0.at="isa"
hint.atkbdc.0.port="0x060"
hint.bt.0.at="isa"
hint.bt.0.disabled="1"
hint.cs.0.at="isa"
hint.cs.0.disabled="1"
hint.cs.0.port="0x300"
hint.ed.0.at="isa"
hint.ed.0.disabled="1"
hint.ed.0.irq="10"
hint.ed.0.maddr="0xd8000"
hint.ed.0.port="0x280"
hint.fd.0.at="fdc0"
hint.fd.0.drive="0"
hint.fd.1.at="fdc0"
hint.fd.1.drive="1"
hint.fdc.0.at="isa"
hint.fdc.0.drq="2"
hint.fdc.0.irq="6"
hint.fdc.0.port="0x3F0"
hint.fe.0.at="isa"
hint.fe.0.disabled="1"
hint.fe.0.port="0x300"
hint.ie.0.at="isa"
hint.ie.0.disabled="1"
hint.ie.0.irq="10"
hint.ie.0.maddr="0xd0000"
hint.ie.0.port="0x300"
hint.lnc.0.at="isa"
hint.lnc.0.disabled="1"
hint.lnc.0.drq="0"
hint.lnc.0.irq="10"
hint.lnc.0.port="0x280"
hint.ppc.0.at="isa"
hint.ppc.0.irq="7"
hint.psm.0.at="atkbdc"
hint.psm.0.irq="12"
hint.sc.0.at="isa"
hint.sc.0.flags="0x100"
hint.sio.0.at="isa"
hint.sio.0.flags="0x10"
hint.sio.0.irq="4"
hint.sio.0.port="0x3F8"
hint.sio.1.at="isa"
hint.sio.1.irq="3"
hint.sio.1.port="0x2F8"
hint.sio.2.at="isa"
hint.sio.2.disabled="1"
hint.sio.2.irq="5"
hint.sio.2.port="0x3E8"
hint.sio.3.at="isa"
hint.sio.3.disabled="1"
hint.sio.3.irq="9"
hint.sio.3.port="0x2E8"
hint.sn.0.at="isa"
hint.sn.0.disabled="1"
hint.sn.0.irq="10"
hint.sn.0.port="0x300"
hint.vga.0.at="isa"
hint.vt.0.at="isa"
hint.vt.0.disabled="1"
interpret="OK"
kern.ipc.maxsockets="204800"
kern.ipc.nmbclusters="65536"
kern.maxdsiz="1073741824"
kernel="kernel"
kernel_options=""
kernelname="/boot/kernel/kernel"
loaddev="disk1s1a:"
mac_ifoff="NO"
module_path="/boot/kernel;/boot/modules"
net.inet.tcp.syncache.bucketlimit="100"
net.inet.tcp.syncache.hashsize="1024"
net.inet.tcp.tcbhashsize="4096"
smbios.bios.reldate="12/30/2003"
smbios.bios.vendor="Phoenix Technologies, LTD"
smbios.bios.version="6.00 PG"
smbios.chassis.maker=" "
smbios.chassis.serial=" "
smbios.chassis.tag=" "
smbios.chassis.version=" "
smbios.planar.maker=" "
smbios.planar.product="SpringdalePE"
smbios.planar.serial=" "
smbios.planar.version=" "
smbios.socket.enabled="1"
smbios.socket.populated="1"
smbios.system.maker=" "
smbios.system.product=" "
smbios.system.serial=" "
smbios.system.version=" "
vfs.root.mountfrom="ufs:/dev/ad0s1a"
kevent: not found
usage: kill [-s signal_name] pid ...
       kill -l [exit_status]
       kill -signal_name pid ...
       kill -signal_number pid ...
@@: not found
__sys_jail: not found
_jail_attach: not found
__sys_jail_attach: not found
+: not found
+: not found
_kenv: not found
__sys_kenv: not found
_kevent: not found
diff: src.old/sys/kern/init_sysent.c: No such file or directory
diff: src.new/sys/kern/init_sysent.c: No such file or directory
---: not found
+++: not found
@@: not found
1: not found
1: not found
1: not found
-: not found
-: not found
+: not found
+: not found
./memory_limits_70.bin: 1/: Permission denied
@@: not found
./memory_limits_70.bin: 36: Syntax error: word unexpected (expecting ")")
что-то не так сделал?

Код: Выделить всё

FreeBSD 7.0-STABLE #0:
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-22 10:19:29

кстате, в VDS_Menager написано что в комплекте идут скрипты для управления клетками и патч ядра

кто ставил или кто смотрел демо этой прогарммы? там код открыт того патча и скрипты?
там геморой, надо получить лицензию, хоть и демо...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

avia21
рядовой
Сообщения: 40
Зарегистрирован: 2008-03-16 21:25:21
Откуда: Улан-Удэ
Контактная информация:

Re: jail

Непрочитанное сообщение avia21 » 2009-03-23 12:26:55

reLax писал(а):# mount

для начала

а потом http://www.freebsd.org/doc/en_US.ISO885 ... uotas.html
to reLax Ты че меня за дурака держишь? квоты и маунт прекрасно знаю, если есть чем помочь объясни подробней.

Что бы было понятней объясню по подробнее.

Дано:

Код: Выделить всё

/home/jails/www
/home/jails/mail
/home/jails/dns
/home/jails/db
Нужно получить на выходе, что бы каждая клетка не могла занимать больше чем 1 Гб, файлы в директории принадлежат руту, значит нужно ставить квоту на рута, поставим на раздел /home, но тогда получаем что объем занимаемого места для рута будет общим, а не для каждой jail, пробовал переназначить другому пользователю файлы клеток и так допустим каждая клетка принадлежит своему юзеру, но получил облом, что не удивляет, так как файлы в клетке должны быть рутовыми. пробовал монтировать каждую клетку через nullfs, но тут тоже обломился так как nullfs не поддерживает квот.

ПС: В общем пока идей больше нету. Может кто нибудь подскажет в какую сторону рыть?
Изображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-23 12:44:18

avia21 писал(а): ПС: В общем пока идей больше нету. Может кто нибудь подскажет в какую сторону рыть?
я видел файловая система в файле, ты примонтируешь при старте и работает, можно задать максимум, md0

еще по-моиму демона можн написать, который смотрит каталоги, типо как только место на 100Мб больше, то клетку выключить
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

avia21
рядовой
Сообщения: 40
Зарегистрирован: 2008-03-16 21:25:21
Откуда: Улан-Удэ
Контактная информация:

Re: jail

Непрочитанное сообщение avia21 » 2009-03-23 12:50:30

ProFTP писал(а):
avia21 писал(а): ПС: В общем пока идей больше нету. Может кто нибудь подскажет в какую сторону рыть?
я видел файловая система в файле, ты примонтируешь при старте и работает, можно задать максимум, md0

еще по-моиму демона можн написать, который смотрит каталоги, типо как только место на 100Мб больше, то клетку выключить
to ProFTP
про вирт. диски я думал, читал. На практике еще не опробовал, а вот про демона интересно было бы по подробнее.
Изображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-23 12:53:14

навернео поставить скрипт в крон, если мето больше, то выключить клетку
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

avia21
рядовой
Сообщения: 40
Зарегистрирован: 2008-03-16 21:25:21
Откуда: Улан-Удэ
Контактная информация:

Re: jail

Непрочитанное сообщение avia21 » 2009-03-24 9:03:15

to ProFTP

Разобрался с CPU и RAM ?? Мне в скором тоже предстоит это, у меня ось 6.4-RELEASE-p3, надеюсь что патч ляжет без проблем. Сегодня ради теста пару строк набросал

Код: Выделить всё

cat 1.sh
#!/bin/sh
while :;
do cat /dev/random | md5 & done
Хорошо можно подвешать основную ось запустив этот скриптец в клетке с правами обычного юзверя.
Изображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-24 9:04:49

не разобрался, попробу... расскажешь...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение zingel » 2009-03-24 9:30:44

посдкажите можно ограничить CPU и RAM в jail?
пока никак, пока.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-24 9:37:26

а патчи которые я привел? можно на 6.2 поставиться?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение zingel » 2009-03-24 10:07:49

не будет это всё работать, сейчас идёт эксперимент на 8.0, ken его ведёт - jail limit's, я бы подождал, а этот патч пока не смотрел
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-24 10:13:45

ты его смотрел, там ложно? там патч идет в несколько десятков строк, самое галвно чтобы оно осбралдось, а дальше смотреть... старый патч есть 2006 года, для 6.2 кажется, может будет работать

а VDS наждш будет посмотреть демо, оно поставит может пропатчит само...в крайнем лучае если исходников не наст, то на ядро сишное может уже собранное
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение zingel » 2009-03-24 10:15:50

у меня просто тут нет 7.0 везде 6.4 или 7.1, посмотреть негде, а хотя есть машинка но нужно её просетапить сначала.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: jail

Непрочитанное сообщение ProFTP » 2009-03-24 10:28:03

zingel писал(а):у меня просто тут нет 7.0 везде 6.4 или 7.1, посмотреть негде, а хотя есть машинка но нужно её просетапить сначала.
мне срочно не надо, попробую еще, может 6.2, я имел ввиду что сам патч не очень сложный вроде бы...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

FreeBlack
проходил мимо

Re: jail

Непрочитанное сообщение FreeBlack » 2009-04-19 19:02:56

Devilman писал(а):есть такая проблема после сборки мира , который отработал успешно появилась такая проблема , что в директории jail нет к примеру категории /usr/ports , то есть нет возможности сборки портов ,а также отстутвуют файлы типа rc.conf , посоветуйте что делать , плиз

PS собирал все согласно http://www.lissyara.su/?id=1197
Файлы - создать, /usr/ports примонтровать из хостсистемы через nullfs
В 7.1 почему то не работает mount_nullfs, монтировал так

Код: Выделить всё

mount -t nullfs /usr/ports  /usr/local/jails/jail1/usr/ports 
вывод комманды mount из тюрьмы

Код: Выделить всё

# mount
/dev/ad0s1a on / (ufs, local)
devfs on /dev (devfs, local)
/dev/ad0s1e on /tmp (ufs, local, soft-updates)
/dev/ad0s1f on /usr (ufs, local, soft-updates)
/dev/ad0s1d on /var (ufs, local, soft-updates)
devfs on /usr/local/jails/jail1/dev (devfs, local)
procfs on /usr/local/jails/jail1/proc (procfs, local)
/usr/ports on /usr/local/jails/jail1/usr/ports (nullfs, local)
Спасибо Лисяра, отличный сайт. :)

FreeBlack
проходил мимо

Re: jail

Непрочитанное сообщение FreeBlack » 2009-04-19 19:07:12

упс, не в ту тему, сам не знаю как получилось, не пинайте плиз