jail

[Richmond]

Хочу, чтоб какой-либо сервер (p2p,apache,etc) был доступен из jail'а по ip сервера, где этот jail крутится. Как понял, единственный способ - это форвардить порты фаером с ip сервера на порты jail'а? Или может еще какие-нибудь механизмы есть?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

прокси

[Richmond]

Нашел опцию в мане ipfw

Код: Выделить всё

     jail prisonID
	     Matches all TCP or UDP packets sent by or received for the jail
	     whos prison ID is prisonID.

[Richmond]

Возникла такая проблема с ezjail'ом. Он создает символьную ссылку на другую сивольную ссылку на /etc/ports/. При попытке доступа из клетки к коллекции портов выдает ошибку, что слишком много символьных ссылок. Как некоторое решение, скопировал порты в basejail вместо ссылки. Кто-нибудь знает в чем проблема и как ее решить?

[Richmond]

mount_nullfs - тоже не выход

[reLax]

mount_nullfs - тоже не выход

Отчего же, по каким религиозным соображениям ?

[Belchik]

Подскажите, можно ли сделать так, чтобы com-порты были доступны в jaile?

[avia21]

Уважаемые форумчане, возникла необходимость в jail' ах, завел все поднял, с этим все ок!
Но вот проблема нужны файловые квоты на каждый джейл, или хотя бы на домашние каталоги пользователей в джейлах, как реализовать?

знаю что в джейлах не возможно поставить квоты, только из родительской машины, по теме читал
http://lists.freebsd.org/pipermail/free ... 16308.html
http://unix.derkeiler.com/Mailing-Lists ... 00848.html
http://lists.freebsd.org/pipermail/free ... 03626.html

Поробовал как описано, что то не вышло, может не так что то понял. Надеюсь что откликнетесь.

[reLax]

# mount

для начала

а потом http://www.freebsd.org/doc/en_US.ISO885 ... uotas.html

[ProFTP]

посдкажите можно ограничить CPU и RAM в jail?
(причина: apache свапит сильно до 300 -400- 500 -600 -Mb бывает, попробовать как оно будет если ресурсы ограничть в jail)

кто ставил, какие патчи нужны? кстате в 8.0 там добавлии много слышал, может там есть сразу?

есть патчи старые для 6.x
вот написано для 7.0:
http://lists.freebsd.org/pipermail/free ... 00333.html

но там патч одним файлом, выдет ошибки при запуске

Url : http://lists.freebsd.org/pipermail/free ... its_70.bin

http://wiki.freebsd.org/Jails

Код: Выделить всё

chmod 750 ./memory_limits_70.bin

Код: Выделить всё

# ./memory_limits_70.bin
diff: src.old/lib/libc/sys/Symbol.map: No such file or directory
diff: src.new/lib/libc/sys/Symbol.map: No such file or directory
---: not found
+++: not found
@@: not found
issetugid: not found
usage: jail [-i] [-J jid_file] [-s securelevel] [-l -u username | -U username] path hostname ip-number command ...
jail_attach: not found
+: not found
LINES="24"
acpi_load="YES"
bootfile="kernel"
comconsole_speed="9600"
console="vidconsole"
currdev="disk1s1a:"
ddb.panic="5"
hint.acpi.0.oem="IntelR"
hint.acpi.0.revision="1"
hint.acpi.0.rsdp="0xf6c40"
hint.acpi.0.rsdt="0x0fff3000"
hint.adv.0.at="isa"
hint.adv.0.disabled="1"
hint.aha.0.at="isa"
hint.aha.0.disabled="1"
hint.aic.0.at="isa"
hint.aic.0.disabled="1"
hint.apm.0.disabled="1"
hint.apm.0.flags="0x20"
hint.ata.0.at="isa"
hint.ata.0.irq="14"
hint.ata.0.port="0x1F0"
hint.ata.1.at="isa"
hint.ata.1.irq="15"
hint.ata.1.port="0x170"
hint.atkbd.0.at="atkbdc"
hint.atkbd.0.irq="1"
hint.atkbdc.0.at="isa"
hint.atkbdc.0.port="0x060"
hint.bt.0.at="isa"
hint.bt.0.disabled="1"
hint.cs.0.at="isa"
hint.cs.0.disabled="1"
hint.cs.0.port="0x300"
hint.ed.0.at="isa"
hint.ed.0.disabled="1"
hint.ed.0.irq="10"
hint.ed.0.maddr="0xd8000"
hint.ed.0.port="0x280"
hint.fd.0.at="fdc0"
hint.fd.0.drive="0"
hint.fd.1.at="fdc0"
hint.fd.1.drive="1"
hint.fdc.0.at="isa"
hint.fdc.0.drq="2"
hint.fdc.0.irq="6"
hint.fdc.0.port="0x3F0"
hint.fe.0.at="isa"
hint.fe.0.disabled="1"
hint.fe.0.port="0x300"
hint.ie.0.at="isa"
hint.ie.0.disabled="1"
hint.ie.0.irq="10"
hint.ie.0.maddr="0xd0000"
hint.ie.0.port="0x300"
hint.lnc.0.at="isa"
hint.lnc.0.disabled="1"
hint.lnc.0.drq="0"
hint.lnc.0.irq="10"
hint.lnc.0.port="0x280"
hint.ppc.0.at="isa"
hint.ppc.0.irq="7"
hint.psm.0.at="atkbdc"
hint.psm.0.irq="12"
hint.sc.0.at="isa"
hint.sc.0.flags="0x100"
hint.sio.0.at="isa"
hint.sio.0.flags="0x10"
hint.sio.0.irq="4"
hint.sio.0.port="0x3F8"
hint.sio.1.at="isa"
hint.sio.1.irq="3"
hint.sio.1.port="0x2F8"
hint.sio.2.at="isa"
hint.sio.2.disabled="1"
hint.sio.2.irq="5"
hint.sio.2.port="0x3E8"
hint.sio.3.at="isa"
hint.sio.3.disabled="1"
hint.sio.3.irq="9"
hint.sio.3.port="0x2E8"
hint.sn.0.at="isa"
hint.sn.0.disabled="1"
hint.sn.0.irq="10"
hint.sn.0.port="0x300"
hint.vga.0.at="isa"
hint.vt.0.at="isa"
hint.vt.0.disabled="1"
interpret="OK"
kern.ipc.maxsockets="204800"
kern.ipc.nmbclusters="65536"
kern.maxdsiz="1073741824"
kernel="kernel"
kernel_options=""
kernelname="/boot/kernel/kernel"
loaddev="disk1s1a:"
mac_ifoff="NO"
module_path="/boot/kernel;/boot/modules"
net.inet.tcp.syncache.bucketlimit="100"
net.inet.tcp.syncache.hashsize="1024"
net.inet.tcp.tcbhashsize="4096"
smbios.bios.reldate="12/30/2003"
smbios.bios.vendor="Phoenix Technologies, LTD"
smbios.bios.version="6.00 PG"
smbios.chassis.maker=" "
smbios.chassis.serial=" "
smbios.chassis.tag=" "
smbios.chassis.version=" "
smbios.planar.maker=" "
smbios.planar.product="SpringdalePE"
smbios.planar.serial=" "
smbios.planar.version=" "
smbios.socket.enabled="1"
smbios.socket.populated="1"
smbios.system.maker=" "
smbios.system.product=" "
smbios.system.serial=" "
smbios.system.version=" "
vfs.root.mountfrom="ufs:/dev/ad0s1a"
kevent: not found
usage: kill [-s signal_name] pid ...
       kill -l [exit_status]
       kill -signal_name pid ...
       kill -signal_number pid ...
@@: not found
__sys_jail: not found
_jail_attach: not found
__sys_jail_attach: not found
+: not found
+: not found
_kenv: not found
__sys_kenv: not found
_kevent: not found
diff: src.old/sys/kern/init_sysent.c: No such file or directory
diff: src.new/sys/kern/init_sysent.c: No such file or directory
---: not found
+++: not found
@@: not found
1: not found
1: not found
1: not found
-: not found
-: not found
+: not found
+: not found
./memory_limits_70.bin: 1/: Permission denied
@@: not found
./memory_limits_70.bin: 36: Syntax error: word unexpected (expecting ")")

что-то не так сделал?

Код: Выделить всё

FreeBSD 7.0-STABLE #0:

[ProFTP]

кстате, в VDS_Menager написано что в комплекте идут скрипты для управления клетками и патч ядра

кто ставил или кто смотрел демо этой прогарммы? там код открыт того патча и скрипты?
там геморой, надо получить лицензию, хоть и демо...

[avia21]

# mount

для начала

а потом http://www.freebsd.org/doc/en_US.ISO885 ... uotas.html

to reLax Ты че меня за дурака держишь? квоты и маунт прекрасно знаю, если есть чем помочь объясни подробней.

Что бы было понятней объясню по подробнее.

Дано:

Код: Выделить всё

/home/jails/www
/home/jails/mail
/home/jails/dns
/home/jails/db

Нужно получить на выходе, что бы каждая клетка не могла занимать больше чем 1 Гб, файлы в директории принадлежат руту, значит нужно ставить квоту на рута, поставим на раздел /home, но тогда получаем что объем занимаемого места для рута будет общим, а не для каждой jail, пробовал переназначить другому пользователю файлы клеток и так допустим каждая клетка принадлежит своему юзеру, но получил облом, что не удивляет, так как файлы в клетке должны быть рутовыми. пробовал монтировать каждую клетку через nullfs, но тут тоже обломился так как nullfs не поддерживает квот.

ПС: В общем пока идей больше нету. Может кто нибудь подскажет в какую сторону рыть?

[ProFTP]

ПС: В общем пока идей больше нету. Может кто нибудь подскажет в какую сторону рыть?

я видел файловая система в файле, ты примонтируешь при старте и работает, можно задать максимум, md0

еще по-моиму демона можн написать, который смотрит каталоги, типо как только место на 100Мб больше, то клетку выключить

[avia21]

ПС: В общем пока идей больше нету. Может кто нибудь подскажет в какую сторону рыть?

я видел файловая система в файле, ты примонтируешь при старте и работает, можно задать максимум, md0

еще по-моиму демона можн написать, который смотрит каталоги, типо как только место на 100Мб больше, то клетку выключить

to ProFTP
про вирт. диски я думал, читал. На практике еще не опробовал, а вот про демона интересно было бы по подробнее.

[ProFTP]

навернео поставить скрипт в крон, если мето больше, то выключить клетку

[avia21]

to ProFTP

Разобрался с CPU и RAM ?? Мне в скором тоже предстоит это, у меня ось 6.4-RELEASE-p3, надеюсь что патч ляжет без проблем. Сегодня ради теста пару строк набросал

Код: Выделить всё

cat 1.sh
#!/bin/sh
while :;
do cat /dev/random | md5 & done

Хорошо можно подвешать основную ось запустив этот скриптец в клетке с правами обычного юзверя.

[ProFTP]

не разобрался, попробу... расскажешь...

[zingel]

посдкажите можно ограничить CPU и RAM в jail?

пока никак, пока.

[ProFTP]

а патчи которые я привел? можно на 6.2 поставиться?

[zingel]

не будет это всё работать, сейчас идёт эксперимент на 8.0, ken его ведёт - jail limit's, я бы подождал, а этот патч пока не смотрел

[ProFTP]

ты его смотрел, там ложно? там патч идет в несколько десятков строк, самое галвно чтобы оно осбралдось, а дальше смотреть... старый патч есть 2006 года, для 6.2 кажется, может будет работать

а VDS наждш будет посмотреть демо, оно поставит может пропатчит само...в крайнем лучае если исходников не наст, то на ядро сишное может уже собранное

[zingel]

у меня просто тут нет 7.0 везде 6.4 или 7.1, посмотреть негде, а хотя есть машинка но нужно её просетапить сначала.

[ProFTP]

у меня просто тут нет 7.0 везде 6.4 или 7.1, посмотреть негде, а хотя есть машинка но нужно её просетапить сначала.

мне срочно не надо, попробую еще, может 6.2, я имел ввиду что сам патч не очень сложный вроде бы...

[FreeBlack]

есть такая проблема после сборки мира , который отработал успешно появилась такая проблема , что в директории jail нет к примеру категории /usr/ports , то есть нет возможности сборки портов ,а также отстутвуют файлы типа rc.conf , посоветуйте что делать , плиз

PS собирал все согласно http://www.lissyara.su/?id=1197

Файлы - создать, /usr/ports примонтровать из хостсистемы через nullfs
В 7.1 почему то не работает mount_nullfs, монтировал так

Код: Выделить всё

mount -t nullfs /usr/ports  /usr/local/jails/jail1/usr/ports 

вывод комманды mount из тюрьмы

Код: Выделить всё

# mount
/dev/ad0s1a on / (ufs, local)
devfs on /dev (devfs, local)
/dev/ad0s1e on /tmp (ufs, local, soft-updates)
/dev/ad0s1f on /usr (ufs, local, soft-updates)
/dev/ad0s1d on /var (ufs, local, soft-updates)
devfs on /usr/local/jails/jail1/dev (devfs, local)
procfs on /usr/local/jails/jail1/proc (procfs, local)
/usr/ports on /usr/local/jails/jail1/usr/ports (nullfs, local)

Спасибо Лисяра, отличный сайт.

[FreeBlack]

упс, не в ту тему, сам не знаю как получилось, не пинайте плиз