ограничение ресурсов jail

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sintetic
рядовой
Сообщения: 43
Зарегистрирован: 2007-01-14 12:39:46
Откуда: msk
Контактная информация:

Re: ограничение ресурсов jail

Непрочитанное сообщение sintetic » 2008-06-14 1:29:47

paradox писал(а):так я ж ненстаиваю=)
а во сне может присниться где взять 2000$ и тогда все упроститься
Уважаемый, про бабло было написано не раз (кстати, че он запостился с нелепым высказыванием, я не понимаю)

Я немного успел почитать про xen, пока безуспешно, к моему сожалению..
PS: ребят, тема перерастает в отстойник.. давайте либо по теме, либо никак.. ну я думаю, что буду апать по мере поступления данных..

Ну а если это не надо - сказали бы сразу...

PS:

Код: Выделить всё

uptime
 2:42AM  up 2 days, 01:04, 1 user, load averages: 0.85, 0.56, 0.16
Извините за бред.. Хочу спать, но надо дать вменяемый ответ по теме...
А что ты сделал ради эксперимента?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: ограничение ресурсов jail

Непрочитанное сообщение manefesto » 2008-06-14 16:28:55

могу предложить хоть глупый, но всё таки вариант.
Можно навтыкать qemu и там уже рулить памятью и процессором.
Конечно не совсем уверен что процессором удачно получиться рулить? но по крайне мере можно будет запускать qemu с заранее заданным приоритетом.
Проблема использования ресурсов проца актуальна, и я думаю навряд ли ты её решишь с помощью login.conf имхо
==================
Пробуй xen на тестовом серваке
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: ограничение ресурсов jail

Непрочитанное сообщение ProFTP » 2008-07-02 1:13:09

VDS Freebsd. Jail - система виртуализации.

Freebsd Jail – это механизм разделения компьютерной системы на базе Freebsd на независимые самостоятельно работающие мини-системы, которые называются Jail’ами.

Конечно, JAIL - это еще один способ говорить о том же самом. Создание VDS на базе Freebsd.

Необходимость в разделении системы на jail’ы появилась, когда сервисные провайдеры захотели разнести служебные сервисы и клиентов, так сказать разделить функции, которые несут серверы. Это было сделано для безопасности и стабильности работы, а также для простоты управления этим хозяйством. Вместо того, чтобы добавлять еще один слой программного обеспечения и его настроек на работающую систему, происходило изначальное разделение чистой системы на несколько частей, каждая из которых обладала своей файловой системой, была оснащена определенным количеством выделенных ресурсов и выполняла свою собственную функцию.

Основные роли Freebsd Jail.

1. Виртуализация. Каждый jail – это виртуальная среда, которая работает на машине хосте и обладает собственной файловой системой, процессами, пользователями и суперпользователями. Если рассматривать процесс работы jail изнутри системы, то виртуальная среда практически ничем не отличается от реальной системы.
2. Безопасность. Каждый jail абсолютно изолирован от других, запущенных на одном хосте.
3. Простота делегирования. Благодаря изолированности jail’а администраторы могут безболезненно делегировать другим права суперпользователей на определенные сервисы без необходимости давать права на всю систему.

Тот, кто знаком с UNIX-системами, узнает комманду Chroot Jail, которая является методом делегирования админ-доступа на определенные директории. Механизм FreeBSD jail нечто большее. Каждый процесс функционирует таким образом, чтобы обеспечить ограничение во взаимодействиями с другими jail’ами и ограничить доступ к службам, которые исполняются в других jail’ах.

Виртуализация

Jail позволяет создавать различные виртуальные машины, каждая из которых имеет свой собственный набор утилит и свою собственную конфигурацию. Это позволяет в безопасном режиме тестировать программное обеспечение. Например, вы можете асболютно точно протестировать различные версии apache c разной конфигурацией, используя несколько jail’ов и сравнивая их работу. Поскольку изолированность каждого отдельного jail’a гарантирована, такое тестирование никак не скажется на работе общей системы. Вам даже не нужно восстанавливать «рабочие» настройки системы до тех пор пока тестирование происходит в рамках jail’a.

Виртуализация подходит сервис провайдерам, которые хотят предложить свои клиентам возможность самостоятельной настройки системы в соответствии со своими личным требованиями (custom configuration), в то же время имея стабильно работающую систему в рамках общего хоста. Например, два разных клиента нуждаются в установке одной программы с разной конфигурацией. Традиционный способ заключается в том, чтобы проинсталлировать программы в две разные директории и попытаться убедиться в том, что разные конфигурации одной и той же программы не мешают друг другу работать. Важно указать, что с одной стороны такое исполнение сложно осуществить, а с другой стороны в скором времени такая конфигурация может стать нестабильной. Так, как каждая программа в jail считает, что работает в рамках целой системы единолично, она «чувствует себе как дома». В такой системе даже возможно позволить простому пользователю конфигурировать новое программное обеспечение, делегируя ему доступ на уровне администратора в рамках jail.


В то же самое время, Freebsd Jail не является идеалом системы виртуализацииы, потому что не позволяет виртуальной машине запускать ядро, отличное от общесистемного.

Все виртуальные машины используют общее системное ядро и могут содержать в себе потенциальные ошибки и уязвимости. В Freebsd Jail нет кластеринга или миграция служб между jail’ами. Это является причиной того, что все Jail зависят от стабильности работы корневого компьютера и операционной системы. Нестабильность работы этих систем может стать причиной неработоспособности всех jail.

Безопасность

Freebsd Jail – это эффективный способ увеличить безопасность сервера, используя эффект разделения и полной изолированности между виртуальными средами. Такой эффект называется sandbox. Он позволяет запускать неоттестированные или незнакомые программы в отдельном изолированном пространстве, позволяя защитить основную систему от проблем, которые могут возникнуть вовремя или после инсталляции.

Например, допустим, что в системе запущен веб-сервер APACHE пользователем www и администратор, который несет ответственность за контент, инсталлирует в него PHP, включая некую уязвимость. Это конечно снижает безопасность общей системы. Злоумышленник, который имеет доступ на уровне пользователя www, может модифицировать файлы на веб-сервере, просматривать директории и получать много информации, такой как полный список пользователей, настройки их оболочек и домашних директорий из /etc/passwd. Если jail обслуживает другие задачи, то сути дела это не меняет.

Вообщем, если веб-сервер работает в рамках jail, права пользователя www распространяются только на этот самый jail, который может быть, в свою очередь, прекрасным минималистичным решением, позволяющим не давать доступ к большому количеству нужной и ненужной информации. Кроме обязательных аккаунтов, которые идут по умолчанию в системе, будут добавлены только www и ftp(обычно добавляется со службой ftp, чтобы делать обновления веб-сервера). Поэтому нарушитель будет иметь доступ только к веб-серверу, даже если он каким-то образом получит доступ на уровне суперпользователя.

Если root-аккаунт во Freebsd Jail используется злоумышленником, то доступ к остальной системе закрыт в любом случае по следующим причинам:

* Любая служба, процесс в рамках jail не может соединяться с процессами или службами в другом jail. Например, комманда ps выдаст список процессов запущенных только в рамках jail.
* Модификация работающего ядра с помощью прямого доступа или загрузка новых модулей запрещена. Модификация sysctls и уровня безопасности запрещена.
* Модификация сетевой конфигурации, включая интерфейсы, адреса и таблицы маршрутизации, запрещена. Доступ к raw, divert, сокетам маршрутизации запрещен. Например, jail привязан только к одному ip и правила фаервола не могут быть изменены.
* Подключение и отключение файловых систем запрещено. Jail не имеет доступа к файлам, которые распологаются выше по дереву, чем их корневые директории.
* Создание файлов устройств запрещено.



Простота делегирования



Проблема в управлении UNIX-системами в том, что есть права обычных пользователей и права суперпользователей, и нет ничего между ними. Поэтому так сложно выстроить стабильную политику безопасности функционирования системы. Во-первых, сложно дать обычным пользователям только часть прав root-пользователя, так как не имеет значение, как назначаются права, но пользователь получает доступ сразу и на все. Во-вторых, вещи, которые на первый взгляд не взаимосвязаны, могут в будущем влиять друг на друга. Например, позволяя пользователю модифицировать файлы, мы разрешаем пользователя использовать комманду su и получать роль другого пользователя, потому как он имеет право менять логины.

Jail позволяют инсталлировать различные сервисы в различные виртуальные среды и делегировать их управление другим людям, давая им супер доступ только в рамках одного jail.

Это безопасно по двум причинам:

1. Суперпользователь имеет полный доступ в рамках jail и только (и администратор знает, что он не имеет права, например, править правила фаервола).
2. Он работает только в рамках jail и ничего не знает об общей системе.

Системы виртуализации других производителей:

OpenVZ\Virtuozzo, Linux-VServer, Solaris Containers.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ограничение ресурсов jail

Непрочитанное сообщение zingel » 2008-07-02 1:48:17

* From: Kris Kennaway <kris@xxxxxxxxxxx>
* Date: Sat, 24 May 2008 08:49:08 +0000

On Thu, May 22, 2008 at 03:26:13PM -0400, Vivek Khera wrote:

While we're on the topic of jail resource limits, I think I'll ask my
question again... I asked last month but got no response...


I've got a jail server (FreeBSD 6.3/amd64) which runs a bunch of web
site development environments. There is an apache or lighttpd running
in each jail as user httpd (same UID on base system and each jail).

On the jail host, I counted 231 processes owned by httpd.

If I try to start an application server (or any process) as user httpd
in one of the jails, it exits immediately with "Cannot fork: Resource
temporarily unavailable". Even if I "su httpd" I get the same error
on any command I try to run such as "ls". If I run the same on the
jail host, it has no problems. The jail itself only has 34 processes
running.

On the jail host, the following is logged:

Apr 22 16:34:38 staging kernel: maxproc limit exceeded by uid 80,
please see tuning(7) and login.conf(5).


Can anyone tell me where to look to find out what is limiting user
httpd from creating new processes inside the jail, and what exactly
that limit is? More importantly, how to increase it.


I'd start by instrumenting the code path that leads to the above
kernel printf, to try and differentiate any possible causes.

Kris

--
In God we Trust -- all others must submit an X.509 certificate.
-- Charles Forsythe <forsythe@xxxxxxxxxxxx>
_______________________________________________
freebsd-stable@xxxxxxxxxxx mailing list
http://lists.freebsd.org/mailman/listin ... bsd-stable
To unsubscribe, send any mail to "freebsd-stable-unsubscribe@xxxxxxxxxxx"
Z301171463546 - можно пожертвовать мне денег