Socket mezi dvema jaily

Robert Kania konference at gdi.cz
Tue Sep 29 23:01:14 CEST 2009


Dan Lukes wrote:
> To me prave pripada, ze tohle vsechno zajistuje v podstate uz chroot.
>  Jail k tomu pridava to "oddeleni". Takze procesy v ruznych jailech
> by (IMHO) skutecne spolu nemeli mit moznost komunikovat jako by
> oddelene nebyly a tudiz moznost "ze to jde" mam tendenci spis vnimat
> jako "nedokonalost oddeleni".

Takto to jsem bez problemu schopen akceptovat. Pokud by to takto bylo 
jasne deklarovano, tak bych to prijal jako fakt. Nicmene v praxi se to 
tak evidentne nechova a z meho pohledu se tim dost rozmazava rozdil 
jail/chroot. Na jednu stranu existuje sysctl jako 
security.jail.sysvipc_allowed, kterou jestli to chapu spravne muzu 
povolit pouziti system V primitives jako je napr. sdilena pamet mezi 
procesy ruznych jailu. Na druhou tu je situace komunikace pres IPC 
socket, kdy pres nullfs to "nejde" a pres unionfs ano - coz neni prilis 
konzistentni stav. A ja na zaklade podkladu, ktere mam k dispozici 
(handbook, man, konference) nejsem schopen rozhodnout jestli je to chyba 
(ohlasit ji a naucit se s ni zatim zit) nebo vlastnost (a naucit se s ni 
zit).

> 
> Dokonce i kdyby aktualni zamer byl, jak psal Mira, "virtualizace", 
> tak i u virtualnich stroju si predstavuju, ze jednotlive masiny jsou 
> oddelene a ne, ze se navzajem mohou ovlivnovat "jako by vsechno 
> bezelo na jednom stroji".
> 

To byl (a je) puvodni zamer. Pouze v aktualni situaci jsem narazil
na vykonove omezeni, ktere by _mozna_ slo vyresit "pouze" tim, ze by
aplikace (jail a) nekomunikovala s databazi (jail b) pres TCP (jako je
tomu dosud) ale pres IPC. Prislo mi, ze zkusit to bude zalezitosti
minut, ale narazil jsem na zminenou nefunkcnost - to u me vyvolalo
potrebu se zeptat moudrejsich a zkusenejsich. Samozrejme reseni
je spousta dalsich, ale o tom tato debata neni.

> Cimz ti ani nahodou pouziti jailu nevymlouvam - ale kdyz uz hledas 
> ten nejefektivnejsi zpusob, jak si postavit to co potrebujes, mozna 
> bys k posuziovanym moznostem "Jail+tcp" x "jail+IPC" mohl pridat 
> "zadny jail, pouze chroot". A az to vyhodnotis, tak nam rict, jak to 
> dopadlo.

ano, mas pravdu, chroot by k tomu co potrebuji byl v moji konfiguraci
asi take pouzitelny. Jaily jsem zvolil zejmena kvuli jejich velmi
pohodlne sprave pomoci ezjailu. K chroot prostredi zadny takovy nastroj
neznam (na druhou stranu priznavam ze jsem ho ani nehledal).

Moje dalsi duvody pouziti jailu misto chrootu je vyhled na moznost 
nastavovani limitu cpu / pouzivane pameti - tj. dalsi krok k tomu, aby 
se toto pouziti dalo opravdu nazyvat virtualizaci.

Od pouziti chrootu jako bezpecnostniho opatreni (vim, ze jsem ho v 
predchozich emailech odsunul do pozadi) me take dokaze minimalne 
zastrasit uvod v handbooku 
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-intro.html#JAILS-WHAT

Diky za konstruktivni argumenty, pokud nic jineho, tak mi minimalne 
pomahaji si utribit myslenky.

Robert
kania at gdi.cz



More information about the Users-l mailing list