Jail это хорошо или это плохо?

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
KAS
рядовой
Сообщения: 27
Зарегистрирован: 2009-08-12 21:32:10
Откуда: Orenburg
Контактная информация:

Jail это хорошо или это плохо?

Непрочитанное сообщение KAS » 2011-02-18 11:12:43

Доброго времени суток всем!
Работаю в гос.учреждении, и как следствие на сервера деньги не выделяют, а сервисов обслуживать надо много.
Соответственно я вижу выход в использовании Jail.
Предполагается запускать на одном сервере следующие службы:
  • 0. Gateway (ipfw + kernel NAT)
    1. DNS
    2. DHPC
    3. Mail (exim)
    4. Web (apache+php)
    5. Database (mysql)
    6. IRC (пока не определился)
    7. Samba
Шлюз, само собой, только на реальной машине, а вот все остальное в jail'ах.
На сколько мне известно DNS, exim, samba - нормально должны работать в jail. А вот с DHCP и IRC не в курсе вообще.
apache+php и mysql я сам запускал и они работают нормально в разных клетках (правда делал это по "джедайски" _http://www.xakep.ru/post/48311/default.asp).
Собственно интересует следующий вопрос:
Какие при этом минусы и плюсы, прошу написать с обоснованием.
Я вижу следующие:
"+":
  • 1. безопасность и разграничение функций (ну это же jail)
    2. возможность быстро переносить функционал клеток на другую машину в случае чего
    3. все в одном (ну это даже не плюс, а вынужденная необходимость)
"-":
  • 1. адски тяжело настраивать первоначально (по "джедайски"), пока все зависимости найдешь и соберешь...
    2. тяжело следить за актуальным состоянием версий софта
    3. тяжело все это дело обновлять в случае чего
Последний раз редактировалось f_andrey 2011-02-18 11:41:00, всего редактировалось 2 раза.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Если хочешь, чтобы что-то было сделано хорошо - сделай это сам!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Jail это хорошо или это плохо?

Непрочитанное сообщение Shuba » 2011-02-18 12:10:48

А зачем всё всовывать в клетки??? Загоняй туда только те сервивсы, которые будут в Инете видны. Если же ничего из перечисленного снаружи не будет юзаться - то даже париться по этому вопросу не стоит... Или же у вас работают в госконторе шибко крутые "кулхацкеры"??? Кроме того, некторые из перечисленных прог сами автоматом запускаются jail-ах (bind ака dns).
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
KAS
рядовой
Сообщения: 27
Зарегистрирован: 2009-08-12 21:32:10
Откуда: Orenburg
Контактная информация:

Re: Jail это хорошо или это плохо?

Непрочитанное сообщение KAS » 2011-02-18 13:01:02

Ну в инет будут смотреть стандартные сервисы: DNS (не факт что bind), WWW, mail, irc.
А насчет "кулхацкеров"... это же учебной заведение, а студентов хлебом не корми, дай что-нибудь сломать...
Если хочешь, чтобы что-то было сделано хорошо - сделай это сам!

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Jail это хорошо или это плохо?

Непрочитанное сообщение Shuba » 2011-02-18 13:11:22

KAS писал(а):Ну в инет будут смотреть стандартные сервисы: DNS (не факт что bind), WWW, mail, irc.
А насчет "кулхацкеров"... это же учебной заведение, а студентов хлебом не корми, дай что-нибудь сломать...
Про учебное заведение ты ничего не говорил, сказал, что просто гос-контора. Тогда согласен, есть резон занести и внутренние ресурсы в клетки. Я тоже на пол ставки в одном коммерческом вузе подрабатываю, но обслуживаю в первую очередь бухов и уже во вторую - инет для лабы, где у студентов пары. В моём случае сделал просто: так как студентам только инет, то отельную подсеть и запретил доступ в сеть бухов. На серваке стоят парочка сервисов для бугалтерии, но там тётки 40+, они и свои проги хренова-то знают...
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
KAS
рядовой
Сообщения: 27
Зарегистрирован: 2009-08-12 21:32:10
Откуда: Orenburg
Контактная информация:

Re: Jail это хорошо или это плохо?

Непрочитанное сообщение KAS » 2011-02-18 13:39:10

Shuba писал(а):В моём случае сделал просто: так как студентам только инет, то отельную подсеть и запретил доступ в сеть бухов.
это тоже есть...
Наверное я не правильно начал тему...
Тут вопрос в другом... сейчас все эти сервисы работают на 1 машине безо всяких jail'ов, все одним скопом, я считаю что это не правильно...
Сейчас купили новый сервер (выбитый потом и кровью), и я продумываю новую инфраструктуру, оставить все как есть, т.е. все в одном флаконе, или все таки развести по разным клеткам сервисы...
Или может кто подскажет как лучше сделать, с учетом того, что есть всего 2 сервера, на первом однозначно будет WinSer2003+AD (кудыж без него среди виндовых машин), а на втором FreeBSD со всем, что говорил выше.
Если хочешь, чтобы что-то было сделано хорошо - сделай это сам!