kvoty a jail(8)
Vladimir Dvorak
dvorakv at vdsoft.org
Mon Jan 16 12:07:21 CET 2006
Dan Lukes wrote:
>Vladimir Dvorak napsal/wrote, On 01/16/06 10:22:
>
>
>>>>Mam nekolik desitek uzivatelu uvnitr jailu(8) a nyni jim potrebuji
>>>>nastavit diskove kvoty.
>>>>
>>>>
>
>
>
>>> Pokud byste si pro ucely nastavovani quot udelat chroot presne se stejnym korenem jako ma jail pak z tohoto environmentu by mozna nastaveni mohlo byt mozne
>>>
>>>
>
>
>
>>Vas napad s chroot do jail environmentu a nastavenim kvot zafungoval!!!
>>
>>
>
> No, na jednu stranu me tesi, ze ac jsem sam quoty ani jail jeste nikdy
>nepouzil, tak dokazu ucinne poradit s jejich nastavenim, na druhou
>stranu, zpusob, kterym jsme to vyresili nelze oznacit mirnejsim slovem,
>nez "prasarna".
>
>
Ano, jako "prasarna" se to mozna jevi, ale v me situaci neni jineho
vychodiska. Bylo by mozna elegantnejsi pouzit mod_quota a proftpd,
nicmene v homediru uzivatelu je take Maildir, takze to by nepomohlo.
Taktez bych mohl vytvorit, jak jste nabizel, md(4) zarizeni, obaval bych
se ale vykonoveho propadu.
>
>
>>Dokonce si myslim, ze neni potreba, aby se zajistoval "prazdny prunik
>>mnozin UID hostitelskeho a jail prostredi", nebot kvoty budou platit v
>>tomto pripade pouze pro oddil /VSERVERS.
>>
>>
>
> Limity budete mit, samozrejme, pro kazdy jail zvlast - i pro stejne
>UID. Trochu se ale obavam, ze system pri scitani velikosti secte vsechny
>soubory, kde je vlastnikem dane UID, bez ohledu na to, jestli byly na
>disk zapsany v ramci jailu nebo hostovskeho systemu. Uzivateli v jednom
>jailu by tak byly do zabraneho mista zapocitany i soubory z jinych jailu
>zapsanych "jinym" uzivatelem (se stejnum UID).
>
> To je treba ozkouset, ale pokud jsem se s odhadem trefil minule, je
>urcite nebezpeci, ze mam pravdu i tentokrat. Pokud by to fungovalo tak
>jak si myslim, tak by bylo treba zajistovat unikatnost nejen mezi jailem
>a hostovskym systemem, ale i mezi jaily navzajem (pokud jich tam bude
>vic). A samozrejme i pro GID (pokud pouzivate limity pro skupiny).
>
> Dan
>
>
>
Ano, mate pravdu. Je proste (bohuzel) nutne zajistit, aby uid v jednom
jailu se neprekryvala s uid v jailu jinem. To lze udelat jednoduse na
aplikacni urovni (adduser a podobne ) - navic nepredpokladam, ze rozsah
povolenych uid bude tak velky, takze rozmezi 10000-11000 pro jail1 a
treba 11001-12000 by melo postacovat.
P.S. Kdybych mel server u sebe, tak bych samozrejme pro kazdy jail
vytvoril separe partisnu.
Vlada
More information about the Users-l
mailing list