Socket mezi dvema jaily
Robert Kania
konference at gdi.cz
Tue Sep 29 23:01:14 CEST 2009
Dan Lukes wrote:
> To me prave pripada, ze tohle vsechno zajistuje v podstate uz chroot.
> Jail k tomu pridava to "oddeleni". Takze procesy v ruznych jailech
> by (IMHO) skutecne spolu nemeli mit moznost komunikovat jako by
> oddelene nebyly a tudiz moznost "ze to jde" mam tendenci spis vnimat
> jako "nedokonalost oddeleni".
Takto to jsem bez problemu schopen akceptovat. Pokud by to takto bylo
jasne deklarovano, tak bych to prijal jako fakt. Nicmene v praxi se to
tak evidentne nechova a z meho pohledu se tim dost rozmazava rozdil
jail/chroot. Na jednu stranu existuje sysctl jako
security.jail.sysvipc_allowed, kterou jestli to chapu spravne muzu
povolit pouziti system V primitives jako je napr. sdilena pamet mezi
procesy ruznych jailu. Na druhou tu je situace komunikace pres IPC
socket, kdy pres nullfs to "nejde" a pres unionfs ano - coz neni prilis
konzistentni stav. A ja na zaklade podkladu, ktere mam k dispozici
(handbook, man, konference) nejsem schopen rozhodnout jestli je to chyba
(ohlasit ji a naucit se s ni zatim zit) nebo vlastnost (a naucit se s ni
zit).
>
> Dokonce i kdyby aktualni zamer byl, jak psal Mira, "virtualizace",
> tak i u virtualnich stroju si predstavuju, ze jednotlive masiny jsou
> oddelene a ne, ze se navzajem mohou ovlivnovat "jako by vsechno
> bezelo na jednom stroji".
>
To byl (a je) puvodni zamer. Pouze v aktualni situaci jsem narazil
na vykonove omezeni, ktere by _mozna_ slo vyresit "pouze" tim, ze by
aplikace (jail a) nekomunikovala s databazi (jail b) pres TCP (jako je
tomu dosud) ale pres IPC. Prislo mi, ze zkusit to bude zalezitosti
minut, ale narazil jsem na zminenou nefunkcnost - to u me vyvolalo
potrebu se zeptat moudrejsich a zkusenejsich. Samozrejme reseni
je spousta dalsich, ale o tom tato debata neni.
> Cimz ti ani nahodou pouziti jailu nevymlouvam - ale kdyz uz hledas
> ten nejefektivnejsi zpusob, jak si postavit to co potrebujes, mozna
> bys k posuziovanym moznostem "Jail+tcp" x "jail+IPC" mohl pridat
> "zadny jail, pouze chroot". A az to vyhodnotis, tak nam rict, jak to
> dopadlo.
ano, mas pravdu, chroot by k tomu co potrebuji byl v moji konfiguraci
asi take pouzitelny. Jaily jsem zvolil zejmena kvuli jejich velmi
pohodlne sprave pomoci ezjailu. K chroot prostredi zadny takovy nastroj
neznam (na druhou stranu priznavam ze jsem ho ani nehledal).
Moje dalsi duvody pouziti jailu misto chrootu je vyhled na moznost
nastavovani limitu cpu / pouzivane pameti - tj. dalsi krok k tomu, aby
se toto pouziti dalo opravdu nazyvat virtualizaci.
Od pouziti chrootu jako bezpecnostniho opatreni (vim, ze jsem ho v
predchozich emailech odsunul do pozadi) me take dokaze minimalne
zastrasit uvod v handbooku
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-intro.html#JAILS-WHAT
Diky za konstruktivni argumenty, pokud nic jineho, tak mi minimalne
pomahaji si utribit myslenky.
Robert
kania at gdi.cz
More information about the Users-l
mailing list