सवाल क्या फ्रीबीएसडी जेलों के प्रबंधन के लिए कोई उपकरण है जो ZFS के बारे में जानता है?


फ्रीबीएसडी के तहत जेडएफएस फाइल सिस्टम को जेल में आवंटित करने देता है, इस तरह कि उपयुक्त विशेषाधिकार वाले जेल में खाता फाइल सिस्टम तक पहुंच सकता है, नई अधीनस्थ फाइल सिस्टम बना सकता है, और आगे भी। कम से कम 8-स्थिर के साथ, इन सुविधाओं को मौजूदा में एकीकृत नहीं किया गया है /etc/rc.d/jail स्क्रिप्ट। मूल प्रक्रिया कुछ ऐसा दिखती है:

sysctl -w security.jail.enforce_statfs=0
sysctl -w security.jail.mount_allowed=1
zfs set jailed=on <filesystem>
zfs jail <jid> <filesystem>

और यह भी खुलासा करने की आवश्यकता है zfs जेल के अंदर डिवाइस नोड।

साथ ही, वहाँ उपकरण का एक प्रजनन प्रतीत होता है (ezjail, जेलर, वार्डन, और आम तौर पर /usr/ports/sysutils/*jail*) जो कि आसान / बेहतर / अधिक शक्तिशाली / आदि होने का दावा करता है, लेकिन इनमें से अधिकतर केवल हल्के ढंग से बनाए रखा जाता है और वास्तव में मानक जेल स्क्रिप्ट बनाम जीत का अधिक नहीं होता है।

मैं पहिया को फिर से शुरू करने से बचना चाहता हूं। क्या वहां एक जेल प्रबंधन उपकरण है जो ZFS के साथ अच्छी तरह से एकीकृत है? मैं ऐसा कुछ ढूंढ रहा हूं जो जेल को बूट करते समय आवश्यक devfs नियम, sysctl सेटिंग्स, और zfs विशेषताओं को स्थापित करने का ख्याल रखे ... और आदर्श रूप से जेलों के नाम-आधारित संदर्भों को अनुमति दें, जो कि कई तृतीय- स्टॉक जेल स्क्रिप्ट से पार्टी टूल्स दुखद रूप से गायब है।


6
2018-06-07 21:20


मूल




जवाब:


थोड़ा सा पोक करने के बाद, यह पता चला कि हाल के संस्करण ezjail पहले से ही यह समर्थन है। मुख्य भाग निम्न कॉन्फ़िगरेशन विकल्प हैं /usr/local/etc/ezjail.conf:

ezjail_use_zfs="YES"
ezjail_jailzfs="tank/jails"

और उपयोग कर रहे हैं -c zfs जेल बनाने के दौरान, इस तरह:

ezjail-admin create -c zfs myjail 192.168.1.10

आप ZFS डेटासेट को जेल से जोड़कर जोड़ते हैं ezjail-admin config आदेश (आप इसे के हिस्से के रूप में नहीं कर सकते हैं create आदेश):

ezjail-admin config -z tank/data/myjail myjail

यह मानता है कि आपने ZFS डेटासेट सेट अप किया है और यह काम करने के लिए उपयुक्त sysctl सेटिंग्स और devfs नियमों को कॉन्फ़िगर किया है।

आपके ZFS डेटासेट को रखने की आवश्यकता है jailed विकल्प सेट:

zfs set jailed=on tank/data/myjail

आप निम्नलिखित में चाहते हैं /etc/sysctl.conf:

# support zfs in jails
security.jail.mount_allowed=1
security.jail.enforce_statfs=0

और मैं ezjail के साथ कॉन्फ़िगर किए गए जेलों के लिए निम्न devfs नियमसेट का उपयोग करता हूं:

[devfsrules_zfsjail=100]
add include $devfsrules_jail
add path zfs unhide

4
2018-06-09 15:56





सीबीएसडी (पर http://www.bsdstore.ru/en/about.html) ZFS का अच्छा ज्ञान है।


0
2018-06-21 15:17