Hozzászólások
Hi!
Most én is hasonló problémával küzdök, viszont nekem a következő kellene:
1.) Debian (felteszem Etch) levelezés, webkiszolgálás, ftp
2.) CentOS 4.x egy másik rendszerhez
Mindezt egy vason. A xen-t nézegettem, a LiveDemoCD meggyőzött arról, hogy ezt tudja. De elég biztonságos-e ez szervernek? (azaz a CentOS csak a Debian mögül látszódna, forwardolva a megfelelő porto(ka)t
- A hozzászóláshoz be kell jelentkezni
[quote:56d823965d="hygy"]- tmpfs-re kell tenni az uml-ek memoriajat (merthogy amikro megadod neki hogy mem=256, akkor letrehoz egy 256MB-s filet a tmp konyvtaradban)
ez nem tudom, hogy mikor volt igy, de az altalam most hasznalt uml-eknek mem-kent atadott ertek a host gep fizikai memoriajabol foglal le ennyit. szep is lenne, ha egy file lenne hdd-n.
[code:1:56d823965d]
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3181 lirul 16 0 192m 2536 2508 S 6.7 0.5 5:01.54 linux[/code:1:56d823965d]
felhivnam a figyelmet a VIRT alatt talalhato 192m-re, tekintve h mem=192-vel inditom az uml-t.
es akkor a vegere egy rtfm:
[code:1:56d823965d]mem=<Amount of desired ram>
This controls how much "physical" memory the kernel allocates
for the system.[/code:1:56d823965d]
- A hozzászóláshoz be kell jelentkezni
algernon: xenhez is kell speci kernel? (mint ahogy a vserverhez kellett)
- A hozzászóláshoz be kell jelentkezni
Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...
ahogy én tudom a chroot-ból igencsak könnyű kijutni, ezért érdeklődöm valami komolyabb megoldás után.
- A hozzászóláshoz be kell jelentkezni
[quote:dce7bb3cc0="shirkan"]
Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...
ahogy én tudom a chroot-ból igencsak könnyű kijutni, ezért érdeklődöm valami komolyabb megoldás után.
Konyunek konyu. De van elenszer: http://www.grsecurity.net/
- A hozzászóláshoz be kell jelentkezni
[quote:f8cdac8fbf="selli"][quote:f8cdac8fbf="shirkan"]
Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...
ahogy én tudom a chroot-ból igencsak könnyű kijutni, ezért érdeklődöm valami komolyabb megoldás után.
Konyunek konyu. De van elenszer: http://www.grsecurity.net/
Ez okes, de nem tudsz ennyi apache-ot csinalni, illetve lehet de borzaszto managelni. Arra gondolok, hogy minden vhostnak egy kulon porton figyelo apache-a van (1024 felett) es mindenik kulon chrootban es egy 80-as porton figyel apache csak proxyzik.
Igazabol ha gepen belul csak TCP-vel kommunikalsz, akkor webnek, sqlnek es mailnek es adminnak (tehat nincs olyan kulso portod, ami egybol a valos filerendszerbe dob) letrehozhatok kulon chrootok, grseccel megerositve.
A TCP-s kerdesemmel arra gondoltam, hogy sajat IP-cimmel kommunikalhat-e egy-egy "chroot jail". En ugy tudom ennyire nem tudnak elkulonolni.
- A hozzászóláshoz be kell jelentkezni
En speciel Linux-Vserver-vel tolom, es a celnak megfelel. Nem kell kernelt futtatnod a meglevo felett, stb. Szamtalan elonye volt nekem UML-vel szemben, de valszeg az UML-t hasznalok is tudnanak felhozni olyat, amit az tud ez meg nem. Mindenesetre nalam kulon vserver-ben futnak az egyes szerver oldali alkalmazasok:
- postfix, imap, pop
- apache, php
- mysql
A host rendszer csak ssh-n erheto el 1 usernek. Igy egy esetleges "arbitrary code execution" vagy barmilyen mas remote sechole eseten csak a szerver adott szegmense erintett, es meg ha ki is hasznaljak a tobbi feladat zavartalanul futhat tovabb. - Mar amennyiben a gep talpon marad, es halozati keresre bir valaszolni. :)
Szepen menedzselheto az is, hogy az egyes vserverek mennyi eroforrast foglalhatnak le (io, mem, cpu).
A TCP/IP-s kerdest nem igazan ertem, de nalam a gepnek van 1 publikus IP-je, ami az 1 szem fizikai interfacehez van hozzarendelve. Ezen felul van meg egy dummy0 privat tartomanybol (192.168.100.1) szarmazo cimmel, amire minden vserver huzhat fel egy aliast maganak kulon-kulon ip-vel, igy tudnak egymassal es a kulvilaggal is kommunikalni. Mindez szepen menedzselheto a hoston tuzfallal. A kulso IP-re beerkezo keresek pedig DNAT-olva vannak a megfelelo vserverekre.
80, 443 -> vapache (192.168.100.4)
25, 110, 143, 993, 995 -> vmail (192.168.100.2)
3306 csak a virtualis belso halorol erheto el -> vmysql (192.168.100.3)
Aztan, hogy mennyire biztonsagos ez a felallas, azt majd az ido megmondja. Eddig meg birta a sarat, bar megtorhetetlen rendszer ugye nincs, legfeljebb a karokat tudod csokkenteni. :)
Frank
- A hozzászóláshoz be kell jelentkezni
[quote:18e07b576f="shirkan"]Hali!
Kipróbáltam az UML-t, ami egy szimpatikus játékszer, de nekem nagyon úgy tűnik, hogy sokkal lassab, mint egy valódi környezet. Pláne ha ebből többet is szeretnék futattni.
shirkan
Hi!
Szerintem az UML-t nyugodtan hasznalhatod, ha nincsenek extrem terhelesek a szerveren. En futtattam mar egyszerre 11-et is. Es szepen elfutott a rendszer. Ket dolgot kell megtenni hogy jo legyen a sebessege:
- skas3 patch kell a kernelbe
- tmpfs-re kell tenni az uml-ek memoriajat (merthogy amikro megadod neki hogy mem=256, akkor letrehoz egy 256MB-s filet a tmp konyvtaradban)
HyGy
- A hozzászóláshoz be kell jelentkezni
Ismerősöm töri a chroot jail megoldást, sommássan csak annyit mondott, hogy felmountolja valahova az eredeti partíciót, majd a chroot-olja.
Szerinte a megoldás, hogy nincs root és a jogok elszórva vannak "fél admin userek közt", esetleg a valami más oprendszert bootolva lehessen csak hozzáférni bizonyos részekhez...
Sajna többet én sem tudok, mert mint mondtam: Ismerősről van szó, aki nem adja ki a titkait.
- A hozzászóláshoz be kell jelentkezni
Hali!
Nézegettem különböző virtuális gépet kialakító programokat és érdekelnének tapasztalatok ezek megbízhatóságával és teljesítményével kapcsolatban.
Kipróbáltam az UML-t, ami egy szimpatikus játékszer, de nekem nagyon úgy tűnik, hogy sokkal lassab, mint egy valódi környezet. Pláne ha ebből többet is szeretnék futattni.
Tudtok vmit ezekről a megoldásokról: vserver, plex86, LVS? Főleg összehasonlítások érdekelnének.
A megoldandó probléma amúgy: szerver gépen kialakítani olyan virtuális környezeteket, amikben különböző szervizek futnak. A cél az lenne, hogy ha ezek közül megtörnek egyet, akkor se lehessen a szerver többi szolgáltatását megpiszkálni.
Pl. adhatnék júzereknek PHP környezetet, vagy akár shell-t is, amit nem merek megtenni a gyakori local root exploit-ok miatt.
shirkan
- A hozzászóláshoz be kell jelentkezni
Xen -t tudnam ajanlani.
- A hozzászóláshoz be kell jelentkezni
Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...
- A hozzászóláshoz be kell jelentkezni
[quote:493c6a4a8d="Ysolt"]Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...
TCP/IP kapcsolat is lehet egy ilyenre linuxon?
- A hozzászóláshoz be kell jelentkezni