named в jail'e

[alc99vol]

Поднял несколько клеток, в одной из них хотел запустить named. Столкнулся с тем, что из jail'a named не может примонтировать файлы устройств в chroot каталог ("devfs cannot be mounted from within a jail. Thus a chrooted named cannot be run from within a jail"). Сейчас вижу несколько путей решения:

1. Не запускать named в chroot-окружении (он вроде как и так в клетке). Мучают подозрения что это не очень безопасно и желание всё-таки запустить в chroot чисто из спортивного интереса.

2. mknod. нашел вот эту ветку: http://forum.lissyara.su/viewtopic.php?f=8&t=21012 и там проблема решилась mknod'ом. Но тут возникли сложности. Во-первых, man mknod гласит что mknod utility is deprecated, что наводит на мысль что есть какое-то другое более хорошее решение. Плюс почему-то очень мало нашлось информации о том, как mknod использовать, а точнее,лично я так и не разобрался как определить старший и младший номера устройств. Для named'a вроде как нужны null и random, по ссылке выше использовали такие команды:

Код: Выделить всё

# mknod /chroot/named/dev/null c 0 22 bind:bind
# mknod /chroot/named/dev/random c 0 28 bind:bind

у меня в каталоге /dev у null показывается 0 и 21, у random - 0 и 33. какие номера устройств использовать и как это понять? и вообще, надо ли пользовать mknod?

3. заглянул в файл /etc/rc.d/named в надежде найти там не-deprecated способ монтирования устройств, там нашел строчки:

Код: Выделить всё

	if [ `${SYSCTL_N} security.jail.jailed` -eq 0 ]; then
		umount ${named_chrootdir}/dev 2>/dev/null
		devfs_domount ${named_chrootdir}/dev devfsrules_hide_all
		devfs -m ${named_chrootdir}/dev rule apply path null unhide
		devfs -m ${named_chrootdir}/dev rule apply path random unhide
	else
                      ******
	fi

тут не понял что происходит в строчках umount ${named_chrootdir}/dev 2>/dev/null и devfs_domount ${named_chrootdir}/dev devfsrules_hide_all и, также, почитав man devfs не очень понял, куда лучше прописать этот вызов, чтобы устройства монтировались до старта клеток.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

покажите как вы клетки делаете?

[alc99vol]

вначале

Код: Выделить всё

# make installworld DESTDIR=/var/jail/jail_netsrv
# make distribution DESTDIR=/var/jail/jail_netsrv
...(также для 2х остальных клеток)

далее, touch /etc/fstab в кажой клетке,
затем в etc/rc.conf добавил:

Код: Выделить всё

ifconfig_vr0="192.168.1.1/24"
ifconfig_vr0_alias0="192.168.1.2/32"
ifconfig_vr0_alias1="192.168.1.3/32"
ifconfig_vr0_alias2="192.168.1.4/32"
ifconfig_vr0_alias3="192.168.1.5/32"
ifconfig_vr0_alias4="192.168.1.6/32"
ifconfig_vr0_alias5="192.168.1.7/32"
ifconfig_vr0_alias6="192.168.1.8/32"
jail_enable="YES"
jail_list="jail_netsrv jail_web1 jail_dev1"

jail_jail_netsrv_rootdir="/var/jail/jail_netsrv"
jail_jail_netsrv_hostname="netsrv.iok1"
jail_jail_netsrv_ip="192.168.1.2"
jail_jail_netsrv_devfs_enable="YES"
jail_jail_netsrv_defs_ruleset="devfsrules_jail"

jail_jail_web1_rootdir="/var/jail/jail_web1"
jail_jail_web1_hostname="web1.iok1"
jail_jail_web1_ip="192.168.1.3"
jail_jail_web1_devfs_enable="YES"
jail_jail_web1_defs_ruleset="devfsrules_jail"

jail_jail_dev1_rootdir="/var/jail/jail_dev1"
jail_jail_dev1_hostname="dev1.iok1"
jail_jail_dev1_ip="192.168.1.4"
jail_jail_web1_devfs_enable="YES"
jail_jail_web1_defs_ruleset="devfsrules_jail"

вроде всё

[vadim64]

а что говорит бинд, когда в клетке запускаете в чруте?

[rayder]

Код: Выделить всё

/etc/rc.d/named: ERROR: named chroot: devfs cannot be mounted from within a jail. Thus a chrooted named cannot be run from within a jail. To run named without chrooting it, set named_chrootdir="" in /etc/rc.conf.

Вообще-то вот полное сообщение от намеда. Соб-но там он и говорит как это лечится

[alc99vol]

ну так про то, что можно без chroot'a запустить мне сразу было понятно, только вопрос в другом - насколько это может быть плохо? chroot, насколько я понимаю, накладывает более жесткие ограничения нежели jail (без chroot'a), или я не прав? + всё-таки интересно, как и чем создать файлы устройств?

[suspender]

Подмаунтируй devfs куда надо до старта jail.

[suspender]

Ну в смысле не до старта jail а просто из хостовой системы. И попробуй стартануть named в клетке после этого.

[vadim64]

помоему уже стоит спрсоить ТС: а ваша задача оправдывает запуск бинда в клетке и в чруте? может обсудим это?

[rayder]

Ну в смысле не до старта jail а просто из хостовой системы. И попробуй стартануть named в клетке после этого.

тогда намед будет ругаться при stop-e что не может отмаунтить devfs(или что-то в этом духе).

А по сути да, jail сам по себе уже chroot, стоит ли chroot-ить named еще раз?
я не параноик, я не chroot-ю намед в джейле.

[suspender]

Да и хрен с ним - пускай ругается
Ну или rc.d скрипт подправить.

Хотя согласен с тем, что чрутить неймед в клетке это нафег не надо.

[vadim64]

я в январе одну контору после одного админа переделывал. так у него были
1. на KVM крутилась фряха, в которой была клетка, в которой работала горбылина _http://checkcfg.narod.ru/
2. в соседнем KVM госте сидел дебиан, у которого в vz сидел веб-сервер с зеркалом сайта

[alc99vol]

suspender:
про подмонтировать devfs - опишите, пожалуйста, это подробнее - как примонтировать devfs, только не целиком, а только нужные файлы? как раз про это же и спрашивал, п.3 моего первого вопроса.
vadim64 и все, кто говорят что chroot не нужен:
я как раз таки и спрашивал мнения - стоит заморачиваться с chroot'ом либо это уже слишком параноидально. только хотелось бы какие-нибудь аргументы услышать.

[Shuba]

Тюрьма в тюрьме... Лично я смысла не вижу. Если уж сильно параноик - то вынеси данный сервак в DMZ.