forum.lissyara.su

Доброго времени суток всем!
Работаю в гос.учреждении, и как следствие на сервера деньги не выделяют, а сервисов обслуживать надо много.
Соответственно я вижу выход в использовании Jail.
Предполагается запускать на одном сервере следующие службы:

• 0. Gateway (ipfw + kernel NAT)
  1. DNS
  2. DHPC
  3. Mail (exim)
  4. Web (apache+php)
  5. Database (mysql)
  6. IRC (пока не определился)
  7. Samba

Шлюз, само собой, только на реальной машине, а вот все остальное в jail'ах.
На сколько мне известно DNS, exim, samba - нормально должны работать в jail. А вот с DHCP и IRC не в курсе вообще.
apache+php и mysql я сам запускал и они работают нормально в разных клетках (правда делал это по "джедайски" _http://www.xakep.ru/post/48311/default.asp).
Собственно интересует следующий вопрос:
Какие при этом минусы и плюсы, прошу написать с обоснованием.
Я вижу следующие:
"+":

• 1. безопасность и разграничение функций (ну это же jail)
  2. возможность быстро переносить функционал клеток на другую машину в случае чего
  3. все в одном (ну это даже не плюс, а вынужденная необходимость)

"-":

• 1. адски тяжело настраивать первоначально (по "джедайски"), пока все зависимости найдешь и соберешь...
  2. тяжело следить за актуальным состоянием версий софта
  3. тяжело все это дело обновлять в случае чего

А зачем всё всовывать в клетки??? Загоняй туда только те сервивсы, которые будут в Инете видны. Если же ничего из перечисленного снаружи не будет юзаться - то даже париться по этому вопросу не стоит... Или же у вас работают в госконторе шибко крутые "кулхацкеры"??? Кроме того, некторые из перечисленных прог сами автоматом запускаются jail-ах (bind ака dns).

Ну в инет будут смотреть стандартные сервисы: DNS (не факт что bind), WWW, mail, irc.
А насчет "кулхацкеров"... это же учебной заведение, а студентов хлебом не корми, дай что-нибудь сломать...

KAS писал(а):Ну в инет будут смотреть стандартные сервисы: DNS (не факт что bind), WWW, mail, irc.
А насчет "кулхацкеров"... это же учебной заведение, а студентов хлебом не корми, дай что-нибудь сломать...

Про учебное заведение ты ничего не говорил, сказал, что просто гос-контора. Тогда согласен, есть резон занести и внутренние ресурсы в клетки. Я тоже на пол ставки в одном коммерческом вузе подрабатываю, но обслуживаю в первую очередь бухов и уже во вторую - инет для лабы, где у студентов пары. В моём случае сделал просто: так как студентам только инет, то отельную подсеть и запретил доступ в сеть бухов. На серваке стоят парочка сервисов для бугалтерии, но там тётки 40+, они и свои проги хренова-то знают...

Shuba писал(а):В моём случае сделал просто: так как студентам только инет, то отельную подсеть и запретил доступ в сеть бухов.

это тоже есть...
Наверное я не правильно начал тему...
Тут вопрос в другом... сейчас все эти сервисы работают на 1 машине безо всяких jail'ов, все одним скопом, я считаю что это не правильно...
Сейчас купили новый сервер (выбитый потом и кровью), и я продумываю новую инфраструктуру, оставить все как есть, т.е. все в одном флаконе, или все таки развести по разным клеткам сервисы...
Или может кто подскажет как лучше сделать, с учетом того, что есть всего 2 сервера, на первом однозначно будет WinSer2003+AD (кудыж без него среди виндовых машин), а на втором FreeBSD со всем, что говорил выше.