kvoty a jail(8)

Vladimir Dvorak dvorakv at vdsoft.org
Mon Jan 16 12:07:21 CET 2006


Dan Lukes wrote:

>Vladimir Dvorak napsal/wrote, On 01/16/06 10:22:
>  
>
>>>>Mam nekolik desitek uzivatelu uvnitr jailu(8) a nyni jim potrebuji
>>>>nastavit diskove kvoty. 
>>>>        
>>>>
>
>  
>
>>>	Pokud byste si pro ucely nastavovani quot udelat chroot presne se stejnym korenem jako ma jail pak z tohoto environmentu by mozna nastaveni mohlo byt mozne
>>>      
>>>
>
>  
>
>>Vas napad s chroot do jail environmentu a nastavenim kvot zafungoval!!!
>>    
>>
>
>	No, na jednu stranu me tesi, ze ac jsem sam quoty ani jail jeste nikdy 
>nepouzil, tak dokazu ucinne poradit s jejich nastavenim, na druhou 
>stranu, zpusob, kterym jsme to vyresili nelze oznacit mirnejsim slovem, 
>nez "prasarna".
>  
>
Ano, jako "prasarna" se to mozna jevi, ale v me situaci neni jineho
vychodiska. Bylo by mozna elegantnejsi pouzit mod_quota a proftpd,
nicmene v homediru uzivatelu je take Maildir, takze to by nepomohlo.
Taktez bych mohl vytvorit, jak jste nabizel, md(4) zarizeni, obaval bych
se ale vykonoveho propadu.

>  
>
>>Dokonce si myslim, ze neni potreba, aby se zajistoval "prazdny prunik
>>mnozin UID hostitelskeho a jail prostredi", nebot kvoty budou platit v
>>tomto pripade pouze pro oddil /VSERVERS.
>>    
>>
>
>	Limity budete mit, samozrejme, pro kazdy jail zvlast - i pro stejne 
>UID. Trochu se ale obavam, ze system pri scitani velikosti secte vsechny 
>soubory, kde je vlastnikem dane UID, bez ohledu na to, jestli byly na 
>disk zapsany v ramci jailu nebo hostovskeho systemu. Uzivateli v jednom 
>jailu by tak byly do zabraneho mista zapocitany i soubory z jinych jailu 
>zapsanych "jinym" uzivatelem (se stejnum UID).
>
>	To je treba ozkouset, ale pokud jsem se s odhadem trefil minule, je 
>urcite nebezpeci, ze mam pravdu i tentokrat. Pokud by to fungovalo tak 
>jak si myslim, tak by bylo treba zajistovat unikatnost nejen mezi jailem 
>a hostovskym systemem, ale i mezi jaily navzajem (pokud jich tam bude 
>vic). A samozrejme i pro GID (pokud pouzivate limity pro skupiny).
>
>						Dan
>
>  
>
Ano, mate pravdu. Je proste (bohuzel) nutne zajistit, aby uid v jednom
jailu se neprekryvala s uid v jailu jinem. To lze udelat jednoduse na
aplikacni urovni (adduser a podobne ) - navic nepredpokladam, ze rozsah
povolenych uid bude tak velky, takze rozmezi 10000-11000 pro jail1 a
treba 11001-12000 by melo postacovat.
P.S. Kdybych mel server u sebe, tak bych samozrejme pro kazdy jail
vytvoril separe partisnu.

Vlada



More information about the Users-l mailing list