Jak na jailovani loadbalanceru - nginx, haproxy?
Miroslav Lachman
000.fbsd at quip.cz
Fri Oct 16 01:11:09 CEST 2015
Gabriel wrote on 10/16/2015 00:12:
>>> Urcite chci v jailu alespon ssh pristup na ten server.
>>
>> Tomuhle nejak nerozumim. Chces si do jailu dat SSHd a z neho spravovat
>> hostitelsky system?
>
> Ano, viz vyse uvedene. Na hostitelskem systemu budu maximalne upravovat PF pravidla, takze obecne mit tam kompletni pristup je zbytecne.
Nevim, jake zkusenosti mas s provozem jailu...
Ja to vidim asi nasledovne - pokud v systemu udelas jeden jail a do nej
nacpes vsechny sluzby (krome firewallu), tak se to moc nelisi od toho,
kdyby ti bezely sluzby v hostitelskem systemu.
Pokud budes mit SSHd jen v jailu a ne v hostitelskem systemu, tak uz si
za provozu nikdy nezmenis pravidla firewallu a ani ten stroj nerebootujes.
Kde vidim smysl - pokud bys na tom nginxu / haproxy provozoval nejakou
rizikovou aplikaci, pak by se mohlo vyplatit dat jen ten nginx do jailu,
kde nebude nic jineho co k provozu nepotrebuje nginx. Tim se skrz nginx
nikdo nedostane napriklad ke skutecnemu seznamu uzivatelu a dalsim
vecem, ktere budou jen v hostiteli, ale ne v jailu.
Mirek
More information about the Users-l
mailing list