Dan Lukes wrote:
To me prave pripada, ze tohle vsechno zajistuje v podstate uz chroot.
Jail k tomu pridava to "oddeleni". Takze procesy v ruznych jailech
by (IMHO) skutecne spolu nemeli mit moznost komunikovat jako by
oddelene nebyly a tudiz moznost "ze to jde" mam tendenci spis vnimat
jako "nedokonalost oddeleni".
Takto to jsem bez problemu schopen akceptovat. Pokud by to takto bylo
jasne deklarovano, tak bych to prijal jako fakt. Nicmene v praxi se to
tak evidentne nechova a z meho pohledu se tim dost rozmazava rozdil
jail/chroot. Na jednu stranu existuje sysctl jako
security.jail.sysvipc_allowed, kterou jestli to chapu spravne muzu
povolit pouziti system V primitives jako je napr. sdilena pamet mezi
procesy ruznych jailu. Na druhou tu je situace komunikace pres IPC
socket, kdy pres nullfs to "nejde" a pres unionfs ano - coz neni prilis
konzistentni stav. A ja na zaklade podkladu, ktere mam k dispozici
(handbook, man, konference) nejsem schopen rozhodnout jestli je to chyba
(ohlasit ji a naucit se s ni zatim zit) nebo vlastnost (a naucit se s ni
zit).
Dokonce i kdyby aktualni zamer byl, jak psal Mira, "virtualizace",
tak i u virtualnich stroju si predstavuju, ze jednotlive masiny jsou
oddelene a ne, ze se navzajem mohou ovlivnovat "jako by vsechno
bezelo na jednom stroji".
To byl (a je) puvodni zamer. Pouze v aktualni situaci jsem narazil
na vykonove omezeni, ktere by _mozna_ slo vyresit "pouze" tim, ze by
aplikace (jail a) nekomunikovala s databazi (jail b) pres TCP (jako je
tomu dosud) ale pres IPC. Prislo mi, ze zkusit to bude zalezitosti
minut, ale narazil jsem na zminenou nefunkcnost - to u me vyvolalo
potrebu se zeptat moudrejsich a zkusenejsich. Samozrejme reseni
je spousta dalsich, ale o tom tato debata neni.
Cimz ti ani nahodou pouziti jailu nevymlouvam - ale kdyz uz hledas
ten nejefektivnejsi zpusob, jak si postavit to co potrebujes, mozna
bys k posuziovanym moznostem "Jail+tcp" x "jail+IPC" mohl pridat
"zadny jail, pouze chroot". A az to vyhodnotis, tak nam rict, jak to
dopadlo.
ano, mas pravdu, chroot by k tomu co potrebuji byl v moji konfiguraci
asi take pouzitelny. Jaily jsem zvolil zejmena kvuli jejich velmi
pohodlne sprave pomoci ezjailu. K chroot prostredi zadny takovy nastroj
neznam (na druhou stranu priznavam ze jsem ho ani nehledal).
Moje dalsi duvody pouziti jailu misto chrootu je vyhled na moznost
nastavovani limitu cpu / pouzivane pameti - tj. dalsi krok k tomu, aby
se toto pouziti dalo opravdu nazyvat virtualizaci.
Od pouziti chrootu jako bezpecnostniho opatreni (vim, ze jsem ho v
predchozich emailech odsunul do pozadi) me take dokaze minimalne
zastrasit uvod v handbooku
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails-intro.html#JAILS-WHAT
Diky za konstruktivni argumenty, pokud nic jineho, tak mi minimalne
pomahaji si utribit myslenky.
Robert
ka...@gdi.cz
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
