kvoty a jail(8)

Vladimir Dvorak dvorakv at vdsoft.org
Mon Jan 16 10:22:55 CET 2006


Dan Lukes wrote:

>Vladimir Dvorak napsal/wrote, On 01/11/06 12:21:
>  
>
>>Mam nekolik desitek uzivatelu uvnitr jailu(8) a nyni jim potrebuji
>>nastavit diskove kvoty. 
>>    
>>
>
>http://www.derkeiler.com/Mailing-Lists/FreeBSD-Security/2001-11/6480.html
>
>	Ale jestli vas to potesi, to nevim.
>
>	Na druhou stranu, vyrobit pro ucely jailu virtualni disk neni 
>neresitelny problem, i kdyz to bdue mit dopad na vykon.
>
>  
>
>>Zajimalo by me, zda existuje nejaky workaround
>>    
>>
>
>	Nikdy jsem to nezkousel, nicmene urcitou nadeji vidim. Pokud byste si 
>pro ucely nastavovani quot udelat chroot presne se stejnym korenem jako 
>ma jail pak z tohoto environmentu by mozna nastaveni mohlo byt mozne - a 
>dokonce se neda uplne vyloucit, ze by to i fungovalo. RUku do ohne bych 
>za to ale nedal ani omylem.
>
>	Akorat bude dobre zajistit, aby mnoziny UID pouzivanych v hostovskem 
>systemu v a jailu mely prazdny prunik.
>
>	Je-li oficialni odpoved "nejde" je tohle alespon mala nadeje. Pokud to 
>vyzkousite, dejte vedet, jak jste dopad'.
>
>					Dan
>  
>
Dane, dekuji Vam!

Vas napad s chroot do jail environmentu a nastavenim kvot zafungoval!!!
:-) Prave jsem to zprovoznil a v rychlosti odzkousel. Pokud by se v
ostrem provozu objevil nejaky problem, potom bych dal samozrejme vedet.

Zde prikladam postup:

1. upravy pro hostitelsky system

a)  editace fstab
/dev/ad3s1f             /VSERVERS       ufs    
rw,noatime,groupquota=/VSERVERS/virtualserver/quotagroup,userquota=/VSERVERS/virtualserver/quotauser

b) pridani do rc.conf
check_quotas="YES"
enable_quotas="YES"

2. upravy v jailu

a) fstab
/dev/ad3s1f  /    ufs
rw,noatime,soft-updates,groupquota=/quotagroup,userquota=/quotauser


3. spusteni diskovych kvot

chroot /VSERVERS/virtualserver /usr/local/bin/bash
setquota -u -f / -bh100M uzivatelvjailu

Takze, tyto tri kroky postacuji. Je samozrejme nutne zajistit, aby
quotagroup a quotauser soubory byly videt v ramci jailu a je to.
Dokonce si myslim, ze neni potreba, aby se zajistoval "prazdny prunik
mnozin UID hostitelskeho a jail prostredi", nebot kvoty budou platit v
tomto pripade pouze pro oddil /VSERVERS.

Dekuji jeste jednou a jsem s velkym pozdravem,

Vladimir Dvorak





More information about the Users-l mailing list