Jak na jailovani loadbalanceru - nginx, haproxy?

Miroslav Lachman 000.fbsd at quip.cz
Fri Oct 16 01:11:09 CEST 2015


Gabriel wrote on 10/16/2015 00:12:

>>> Urcite chci v jailu alespon ssh pristup na ten server.
>>
>> Tomuhle nejak nerozumim. Chces si do jailu dat SSHd a z neho spravovat
>> hostitelsky system?
>
> Ano, viz vyse uvedene. Na hostitelskem systemu budu maximalne upravovat PF pravidla, takze obecne mit tam kompletni pristup je zbytecne.

Nevim, jake zkusenosti mas s provozem jailu...
Ja to vidim asi nasledovne - pokud v systemu udelas jeden jail a do nej 
nacpes vsechny sluzby (krome firewallu), tak se to moc nelisi od toho, 
kdyby ti bezely sluzby v hostitelskem systemu.

Pokud budes mit SSHd jen v jailu a ne v hostitelskem systemu, tak uz si 
za provozu nikdy nezmenis pravidla firewallu a ani ten stroj nerebootujes.

Kde vidim smysl - pokud bys na tom nginxu / haproxy provozoval nejakou 
rizikovou aplikaci, pak by se mohlo vyplatit dat jen ten nginx do jailu, 
kde nebude nic jineho co k provozu nepotrebuje nginx. Tim se skrz nginx 
nikdo nedostane napriklad ke skutecnemu seznamu uzivatelu a dalsim 
vecem, ktere budou jen v hostiteli, ale ne v jailu.

Mirek



More information about the Users-l mailing list