jail

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mick
проходил мимо

Re: jail

Непрочитанное сообщение mick » 2009-06-15 17:25:56

Для того чтобы протестировать jail впервые, да еще и на виртуальной машине - очень долгое занитие собирать систему из исходников.
Поэтому предлагается такой вариант:

Создаем папку для клетки, например, /var/jails/test2
1 Запускаем sysinstall
2 Заходим в Options,
3 Правим параметр install root
... и дальше устанавливаем как обычно с диска или по сети (я выбрал minimal - это быстро)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

AmsTaFF
рядовой
Сообщения: 37
Зарегистрирован: 2009-01-18 22:40:31

Re: jail

Непрочитанное сообщение AmsTaFF » 2009-06-28 11:53:50

у меня конечно глупый вопрос... но если у меня на машине стоят jail'ы, которые я хочу дать другому пользователю. Как он сможет зайти в свой jail по средствам ssh?

AmsTaFF
рядовой
Сообщения: 37
Зарегистрирован: 2009-01-18 22:40:31

Re: jail

Непрочитанное сообщение AmsTaFF » 2009-06-28 14:22:32

ладно, понял как конектися с другой FreeBSD, где есть нормальный ssh, но как это делать с WinXP (Vista) ??

Аватара пользователя
LizardOfOzz
сержант
Сообщения: 165
Зарегистрирован: 2009-01-06 13:15:20
Откуда: Станция Восток
Контактная информация:

Re: jail

Непрочитанное сообщение LizardOfOzz » 2009-06-28 20:14:19

AmsTaFF писал(а):ладно, понял как конектися с другой FreeBSD, где есть нормальный ssh, но как это делать с WinXP (Vista) ??
Для компов в сети jail выглядит как обычный хост. Соответственно, также, как и на хост-систему.

AmsTaFF
рядовой
Сообщения: 37
Зарегистрирован: 2009-01-18 22:40:31

Re: jail

Непрочитанное сообщение AmsTaFF » 2009-06-28 20:22:04

вопрос такой, как мне приконнектиться, если я сижу в другой сети?
например у меня стоит сервер: роутер->OS->Jail
я коннекчусь к OS через 26 порт по ssh (у меня несколько машин стоит)
вопрос в том, как мне приконнектиться к jail? я не хочу чтобы пользователи имели доступ к OS. Слышал про туннели, если делать с локальной машины, то все получилось, а вот если сидеть с другой сети, то нет (пробовал через putty)

Аватара пользователя
LizardOfOzz
сержант
Сообщения: 165
Зарегистрирован: 2009-01-06 13:15:20
Откуда: Станция Восток
Контактная информация:

Re: jail

Непрочитанное сообщение LizardOfOzz » 2009-06-28 22:54:35

AmsTaFF писал(а):вопрос такой, как мне приконнектиться, если я сижу в другой сети?
например у меня стоит сервер: роутер->OS->Jail
я коннекчусь к OS через 26 порт по ssh (у меня несколько машин стоит)
вопрос в том, как мне приконнектиться к jail? я не хочу чтобы пользователи имели доступ к OS. Слышал про туннели, если делать с локальной машины, то все получилось, а вот если сидеть с другой сети, то нет (пробовал через putty)
У jail есть собственный ip-адрес. Так что поднимайте внутри клетки ssh-сервер и стучитесь на ip клетки, на 22-й порт. Правда фраза про несколько машин наводит на мысль, что фря поднята на виртуальной машине. Я прав?

AmsTaFF
рядовой
Сообщения: 37
Зарегистрирован: 2009-01-18 22:40:31

Re: jail

Непрочитанное сообщение AmsTaFF » 2009-06-28 22:57:08

ну смотрите тут такая конструкция
стоит роутер за ней машина с фряхой, на машине с фряхой стоит jail

я разобрался, что можно коннектиться к клетке через sh, если на его айпи перекидывать порты... а можно это как-нибудь сделать, чтобы sh порт был един?

Аватара пользователя
LizardOfOzz
сержант
Сообщения: 165
Зарегистрирован: 2009-01-06 13:15:20
Откуда: Станция Восток
Контактная информация:

Re: jail

Непрочитанное сообщение LizardOfOzz » 2009-06-28 23:32:59

AmsTaFF писал(а):ну смотрите тут такая конструкция
стоит роутер за ней машина с фряхой, на машине с фряхой стоит jail

я разобрался, что можно коннектиться к клетке через sh, если на его айпи перекидывать порты... а можно это как-нибудь сделать, чтобы sh порт был един?
Не понимаю, о чём вы и в чём проблема. Рутер-то хоть ваш?
Вторая фраза - это жесть... Sh - это интерпретатор команд. SSH - защищённый протокол, эмулирующий терминал. Ни тот, ни другой ip иметь не могут, и как на них перекидывать порты я не представляю. Если у вас на роутере поднят NAT, то так сразу и напишите.

AmsTaFF
рядовой
Сообщения: 37
Зарегистрирован: 2009-01-18 22:40:31

Re: jail

Непрочитанное сообщение AmsTaFF » 2009-06-29 0:54:23

:) прошу прощения за бред) просто устал и не очень пока разбираюсь

вот сказано было "У jail есть собственный ip-адрес. Так что поднимайте внутри клетки ssh-сервер и стучитесь на ip клетки, на 22-й порт. "
это с условием того, что я уже на самой машине, так?
а что если я не имею доступа к самой машине, но имюе доступ к одной из клеток, как быть?

Аватара пользователя
LizardOfOzz
сержант
Сообщения: 165
Зарегистрирован: 2009-01-06 13:15:20
Откуда: Станция Восток
Контактная информация:

Re: jail

Непрочитанное сообщение LizardOfOzz » 2009-06-29 1:07:20

AmsTaFF писал(а)::) прошу прощения за бред) просто устал и не очень пока разбираюсь

вот сказано было "У jail есть собственный ip-адрес. Так что поднимайте внутри клетки ssh-сервер и стучитесь на ip клетки, на 22-й порт. "
это с условием того, что я уже на самой машине, так?
а что если я не имею доступа к самой машине, но имюе доступ к одной из клеток, как быть?
Если нет доступа на хост-машину и нет доступа в клетку (в клетке не поднят ssh) - то никак. Возможность зайти в одну из клеток никак не поможет зайти в другую клетку или на хост-машину. Ну разве что mac-адрес сетевой карты узнаете.

Если в клетке поднят ssh, то надо знать её ip, номер порта ssh и логин\пароль от не-рута.

Аватара пользователя
LizardOfOzz
сержант
Сообщения: 165
Зарегистрирован: 2009-01-06 13:15:20
Откуда: Станция Восток
Контактная информация:

Re: jail

Непрочитанное сообщение LizardOfOzz » 2009-06-29 4:56:08

AmsTaFF, укажите следующие параметры:
1. Ваш ip-адрес и маска сети
2. Ip-адрес и маска сети всех интерфейсов роутера
3. Ip-адрес машины с клетками, ip-адрес нужной клетки
4. Поднят ли на роутере nat/pat. Если поднят, то как он настроен. Есть ли на роутере acl \ пакетный фильтр на фряхе.

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-08-27 1:26:32

Добрый время суток, Уважаемые Специалисты FreeBSD!
Вод такая задача, есть машина на FreeBSD, на ней поднято больше одного jail и планируется ещё добавить, допустим нужна ветка портов, раньше я что бы не париться в тупую копировал у основной машины порты в jail машину. А теперь это не удобно можно как то заставить jail мантироваться к другим разделам допустим основной машины или папкам? Средствами jail а не линком! ???
Очень буду признателен если кто то подскажет!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: jail

Непрочитанное сообщение Div » 2009-08-27 8:40:44

mount -t nullfs тебе поможет... Например файл fstab_jail мой

Код: Выделить всё

# Device                Mountpoint      FStype  Options         Dump    Pass#
/usr/local/bin          /usr/data/arqa/usr/local/bin    nullfs  ro      0       0
/usr/local/lib          /usr/data/arqa/usr/local/lib    nullfs  ro      0       0
/usr/local/libexec      /usr/data/arqa/usr/local/libexec        nullfs  ro      0       0
/usr/local/sbin         /usr/data/arqa/usr/local/sbin   nullfs  ro      0       0
/usr/local/share        /usr/data/arqa/usr/local/share  nullfs  ro      0       0
/usr/local/ports        /usr/data/arqa/usr/local/ports  nullfs  ro      0       0
Вот...
С уважением Сергей

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-08-27 14:01:29

Добрый день!
Не выходит, может, что то я не так делаю?((

Код: Выделить всё

 mount -t nullfs /usr/ports/ /usr/local/jails/eclipse/usr/ports/
mount: /usr/local/jails: No such file or directory
Что делать???
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-08-27 14:06:35

Извеняюсь Огромное спасибо я всё понял надо на машине ральной это делать! :-)
Огромное спасибо работает!)))
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-09-22 1:37:23

Доброй ночи!
Люди добрые подскажите пожалуйста, а как сделать что бы jail работал на нескольких ip-шниках??? Как прописать в rc.conf???
За ранние спасибо!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Евгений
проходил мимо

Re: jail

Непрочитанное сообщение Евгений » 2009-10-05 1:16:58

Добрый вечер!

Есть машина с выделенным IP который ей выдает роутер...доступа к роутеру нет (те.создать еще один IP с доступом в интернет нет возможности)
поэтому я для jail'а создал IP: 192.168.0.201 (по SSH подключаюсь к родительской машине, а с нее в jail по локальную IP)...

как теперь этому jail'у организовать интернет?! =\

родительская машина
/etc/rc.conf:
ifconfig_rl0="inet xxx.xxx.248.13/29"
ifconfig_rl0_alias0="inet 192.168.0.201 netmask 255.255.255.0"

defaultrouter="xxx.xxx.248.9"

fsck_y_enable="YES"

hostname="somehost.com"
sshd_enable="YES"
ftpd_enable="YES"
inetd_enable="YES"
apache_enable="YES"
mysql_enable="YES"

# ----

jail_enable="YES"
jail_list="host1"
jail_set_hostname_allow="YES"

# Jail "Host1"
jail_host1_rootdir="/usr/home/jails/host1"
jail_host1_hostname="host1-jail.local"
jail_host1_ip="192.168.0.201"
jail_host1_devfs_enable="YES"
jail_host1_procfs_enable="YES"
jail_host1_flags="-l -U root"
jail_host1_interface="rl0"

Jail
/etc/rc.conf:
sshd_enable="YES"
inetd_enable="YES"

в /etc/resolv.conf обоих машин, следующее:
nameserver xxx.xxx.233.91
nameserver xxx.xxx.248.14

но у Jail видимо траблы с ДНС, так как когда захожу по SSH приходиться ждать довольно долго (видимо пытается подключится к ДНС и почему-то не может)

буду очень благодарен за помощь!)

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-10-05 3:28:16

Доброй ночи!
Что ж ты творишь, парень, зачем не реальный ip наружу выставлять, внутренняя карточка существует?
Если есть ещё один интерфейс, а он точно есть если это ровтер, то воткни туда алиас, а с наружной части убери! А ssh можно порты пробросить или ещё что то придумать типа ssh туннеля! Суть jail в том что отрезать можно от реальной машины а ты тут всё объединил!
И вод это убери оно лишнее:

Код: Выделить всё

jail_host1_interface="rl0"
И пожалуйста попонятней объясняй, тогда можно что то реальное будет замутить!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Евгений
проходил мимо

Re: jail

Непрочитанное сообщение Евгений » 2009-10-06 13:15:27

простите, не совсем понял что нужно сделать, я только начинающий. =\

ну дело в том что провайдер выдает 1 IP для доступа в интернет и все. (сервер подключен к провайдеру напрямую) В сервере 1 сетевая карта. Нужно просто джейлу сделать интернет (для того чтоб всякие РНР без проблем имели доступ в интернет если надо) через родительскую машину. Как попасть в джейл, это я уже решил (для http - nginx проксирование, ssh - юзаю только я, поэтому сейчас через родительскую машину (сначала логинюсь на родительскую, потом на джейл)).

Вот думаю как организовать джейлу интернет...сделать родительскую машину шлюзом? или просто на родительской сделать мост и как-то прикрутить его к jail? или еще какие-то варианты? (возможно есть какой-то встроенный в Jail механизм)
я был бы нереально благодарен за какие-то примеры, или советы =\ по интернету полазил, нечего конкретного и внятного не нашел пока =(

пс.у меня есть домашний торрент сервер, он за моим роутером (d-link) который по DHCP выдает IP...там я просто по DHCP получаю IP для каждого джейла и родительской машины отдельно...
а тут надо как-то с одним IP и все через родительскую завернуть =\

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-10-06 21:11:52

Мой друг я с радость Вам помогу!
Только если вы схематически изобразите, что у вас твориться, а то что то я не могу понять вашего расположения вещей! Нужен пример? Вот мой, у меня есть ровтер он получает Ip от провайдера, за ним идёт шлюз FreeBSD, у которого одна карточка смотреть в сеть к ровтеру, ну типа как будто к провайдеру разницы нет, и три карточки во внутрь в, три разных сигмента! Крутиться три jail-ла, на одном из них хостер! Я так понимаю вам что то в роде этого надо? Зделайте сквозняк через свою машину сдлайте её шлюзом, в чом проблемы подымите нат с фаером!
Вот готовый пример, мой:

Код: Выделить всё

gateway_enable="YES"
sshd_enable="YES"
ifconfig_ale0="inet 192.168.250.250  netmask 255.255.255.0"
ifconfig_re0="inet 192.168.16.254  netmask 255.255.255.0"
ifconfig_re0_alias0="inet 192.168.16.232 netmask 255.255.255.255"
ifconfig_re1="inet 192.168.32.254  netmask 255.255.255.0"
ifconfig_re1_alias0="inet 192.168.32.216 netmask 255.255.255.255"
ifconfig_re1_alias1="inet 192.168.32.232 netmask 255.255.255.255"
ifconfig_re2="inet 192.168.64.254  netmask 255.255.255.0"
ifconfig_re2_alias0="inet 192.168.64.216 netmask 255.255.255.255"
ifconfig_re2_alias1="inet 192.168.64.232 netmask 255.255.255.255"
defaultrouter="192.168.250.1"
hostname="dramteatr"
firewall_enable="YES"
firewall_script="/etc/rc.fws"
natd_enable="YES"
natd_interface="ale0"
natd_flags="-m -u -f /etc/natd.conf"
.........

............
#DNS SERVER
named_enable="YES"
named_flags="-u bind"
......................

........................
#JAIL-SERVERS
syslogd_flags="-b 192.168.32.254"
## запускать ли клетки
jail_enable="YES"
## список имён jail`ов разделённый пробелами, типа
jail_list="eclipse web pdc"
## Разрешить руту в клетке изменять её имя хоста
jail_set_hostname_allow="YES"
## дальше настроки специфичные для кажой клетки
## корневая директория клетки
jail_eclipse_rootdir="/usr/local/jails/local/eclipse"
## имя хоста для клетки 
jail_eclipse_hostname="eclipse.dram.lh"
## IP-адрес клетки 
##jail_eclipse_interface="re0"
jail_eclipse_ip="192.168.32.216"
## Монтировать devfs в клетке 
jail_eclipse_devfs_enable="YES"
## монтировать procfs в клетке 
jail_eclipse_procfs_enable="YES"
## Флаги для клетки `test`
jail_eclipse_flags="-l -U root"
###WEB-JAIL
jail_web_rootdir="/usr/local/jails/web"
jail_web_hostname="web.dram.lh"
jail_web_ip="192.168.64.216"
jail_web_devfs_enable="YES"
jail_web_procfs_enable="YES"
jail_web_flags="-l -U root"
#############################################
###PDC-JAIL
jail_pdc_rootdir="/usr/local/jails/local/pdc"
jail_pdc_hostname="pdc.dram.lh"
jail_pdc_ip="192.168.16.232,192.168.32.232,192.168.64.232"
jail_pdc_devfs_enable="YES"
jail_pdc_procfs_enable="YES"
jail_pdc_flags="-l -U root"
##############################################

Пожалуйста, выкладывайте сви конфиги иначе мне догадаться, что у вас очень сложно, договорились?
С уважением FOX! )))
Да пребудет с нами сила!!!
Всех убью, один останусь!

MrFuse
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-10-06 21:37:37

Re: jail

Непрочитанное сообщение MrFuse » 2009-10-06 21:56:01

зарегистрировался...)

смотрите, схема тут не нужна...
есть провайдер и мой сервер. все.

интернет провайдер -> мой сервер

между ними нечего нет...

в этом сервере запущен jail для которого нужно сделать интернет...интернет jail'у должна давать родительская ОС! других вариантов нет...
версия freebsd: 7.1
как установил так все и есть (ядро со специальными опциями не пересобирал)

из конфигов, что вам показать помимо rc.conf? тк.всякие ipfw,nat и т.д. не трогал... (сейчас на сервере разве что apache,mysql...это чисто веб сервер)

главный вопрос: каким образом, лучше, дать jail'у доступ в интернет через родительскую машину?
я вижу варианты поднять на родительской ОС: nat, мост (точно не знаю реально ли), извращение типа прокси (не вариант), или какие-то стандартные средства встроенные в Jail (о которых я возможно не знаю)

пс.извините если плохо объясняю, и этот вопрос занимает столько флейма на форуме :sorry:

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: jail

Непрочитанное сообщение hizel » 2009-10-06 22:06:28

да просто nat, все как обычно, но я бы не давал интернету этому vds-у :]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

MrFuse
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-10-06 21:37:37

Re: jail

Непрочитанное сообщение MrFuse » 2009-10-06 22:40:29

спасибо)
а почему не давали бы?
пс.доступ будет у доверенных лиц, так что прокси и т.п. думаю не будет)

а что посоветуете использовать natd или встроенные средства? (ipfw nat кажется)
пс.честно говоря почитал по ipwf nat =\ все так сложно...и доступ счас на сервер только по ssh (физически он счас далеко от меня), как бы не положить сервер)

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: jail

Непрочитанное сообщение hizel » 2009-10-06 22:49:19

любят делать сейчас бот-сети из дырявых пых-пых скриптов ;]

сначала проэксперементируйте на мышках белых если не уверены
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-10-06 23:16:17

Я бы на всякий случай, за нат с фаером спрятол бы всё, и просто порты прокидывал на алиасные ip только во внутерь с наружи опасно... Portsentri к стате вещь хорошая, для безопастности от любителей посканерить! Воткни лучше ещё одну карточку и спрячь всё...
Да пребудет с нами сила!!!
Всех убью, один останусь!