6 votos

Hay una herramienta para la gestión de las jaulas de FreeBSD que sabe acerca de ZFS?

ZFS bajo FreeBSD permite asignar los sistemas de ficheros a una cárcel, de tal manera que una cuenta en la cárcel con los privilegios adecuados puede acceder al sistema de ficheros, crear nuevos subordinados sistemas de ficheros, y así sucesivamente. Al menos con 8-ESTABLE, estas características no están integrados en el actual /etc/rc.d/jail script. El proceso básico se ve algo como:

sysctl -w security.jail.enforce_statfs=0
sysctl -w security.jail.mount_allowed=1
zfs set jailed=on <filesystem>
zfs jail <jid> <filesystem>

Y requiere también de la exposición de la zfs nodo de dispositivo en el interior de la cárcel.

Al mismo tiempo, no parece ser una profusión de herramientas (ezjail, carcelero, el alcaide, y en general, /usr/ports/sysutils/*jail*) que afirman ser más fácil/mejor/más poderoso/etc, pero la mayoría de los cuales parecen ser sólo ligeramente mantenido y en realidad no tanto de una victoria frente al estándar de la cárcel de la secuencia de comandos.

Me gustaría evitar reinventar la rueda. Hay una cárcel de gestión de la herramienta que se integra muy bien con ZFS? Estoy buscando algo que se haría cargo de la creación de la necesaria devfs reglas, configuración sysctl, y zfs de atributos cuando se arranca una cárcel...y lo ideal permiso de nombre basado en las referencias a las cárceles, mientras que el apoyo de muchas de las herramientas de terceros es trágicamente desaparecidos desde el stock de la cárcel de la secuencia de comandos.

1voto

Eric Noob Puntos 531

Después de hurgar un poco, resulta que la versión más reciente de ezjail ya cuentan con este apoyo. Las partes principales son las siguientes opciones de configuración en /usr/local/etc/ezjail.conf:

ezjail_use_zfs="YES"
ezjail_jailzfs="tank/jails"

Y el uso de -c zfs cuando la creación de una cárcel, como este:

ezjail-admin create -c zfs myjail 192.168.1.10

Asociar conjuntos de datos ZFS con una cárcel uso de la ezjail-admin config comando (usted no puede hacer esto como parte de la create comando):

ezjail-admin config -z tank/data/myjail myjail

Esto presupone que ha configurado el conjunto de datos ZFS y configurado la adecuada configuración sysctl y devfs reglas para hacer este trabajo.

Su conjunto de datos ZFS(s) deben tener la jailed opción:

zfs set jailed=on tank/data/myjail

Desea que el siguiente en /etc/sysctl.conf:

# support zfs in jails
security.jail.mount_allowed=1
security.jail.enforce_statfs=0

Y yo uso el siguiente devfs conjunto de reglas para las cárceles configurado con ezjail:

[devfsrules_zfsjail=100]
add include $devfsrules_jail
add path zfs unhide

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: