Virtual server megoldások Linuxra

Fórumok

Virtual server megoldások Linuxra

Hozzászólások

Hi!

Most én is hasonló problémával küzdök, viszont nekem a következő kellene:

1.) Debian (felteszem Etch) levelezés, webkiszolgálás, ftp

2.) CentOS 4.x egy másik rendszerhez

Mindezt egy vason. A xen-t nézegettem, a LiveDemoCD meggyőzött arról, hogy ezt tudja. De elég biztonságos-e ez szervernek? (azaz a CentOS csak a Debian mögül látszódna, forwardolva a megfelelő porto(ka)t

[quote:56d823965d="hygy"]- tmpfs-re kell tenni az uml-ek memoriajat (merthogy amikro megadod neki hogy mem=256, akkor letrehoz egy 256MB-s filet a tmp konyvtaradban)

ez nem tudom, hogy mikor volt igy, de az altalam most hasznalt uml-eknek mem-kent atadott ertek a host gep fizikai memoriajabol foglal le ennyit. szep is lenne, ha egy file lenne hdd-n.
[code:1:56d823965d]
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3181 lirul 16 0 192m 2536 2508 S 6.7 0.5 5:01.54 linux[/code:1:56d823965d]
felhivnam a figyelmet a VIRT alatt talalhato 192m-re, tekintve h mem=192-vel inditom az uml-t.

es akkor a vegere egy rtfm:
[code:1:56d823965d]mem=<Amount of desired ram>
This controls how much "physical" memory the kernel allocates
for the system.[/code:1:56d823965d]

algernon: xenhez is kell speci kernel? (mint ahogy a vserverhez kellett)

Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...

ahogy én tudom a chroot-ból igencsak könnyű kijutni, ezért érdeklődöm valami komolyabb megoldás után.

[quote:dce7bb3cc0="shirkan"]

Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...

ahogy én tudom a chroot-ból igencsak könnyű kijutni, ezért érdeklődöm valami komolyabb megoldás után.

Konyunek konyu. De van elenszer: http://www.grsecurity.net/

[quote:f8cdac8fbf="selli"][quote:f8cdac8fbf="shirkan"]

Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...

ahogy én tudom a chroot-ból igencsak könnyű kijutni, ezért érdeklődöm valami komolyabb megoldás után.

Konyunek konyu. De van elenszer: http://www.grsecurity.net/

Ez okes, de nem tudsz ennyi apache-ot csinalni, illetve lehet de borzaszto managelni. Arra gondolok, hogy minden vhostnak egy kulon porton figyelo apache-a van (1024 felett) es mindenik kulon chrootban es egy 80-as porton figyel apache csak proxyzik.

Igazabol ha gepen belul csak TCP-vel kommunikalsz, akkor webnek, sqlnek es mailnek es adminnak (tehat nincs olyan kulso portod, ami egybol a valos filerendszerbe dob) letrehozhatok kulon chrootok, grseccel megerositve.

A TCP-s kerdesemmel arra gondoltam, hogy sajat IP-cimmel kommunikalhat-e egy-egy "chroot jail". En ugy tudom ennyire nem tudnak elkulonolni.

En speciel Linux-Vserver-vel tolom, es a celnak megfelel. Nem kell kernelt futtatnod a meglevo felett, stb. Szamtalan elonye volt nekem UML-vel szemben, de valszeg az UML-t hasznalok is tudnanak felhozni olyat, amit az tud ez meg nem. Mindenesetre nalam kulon vserver-ben futnak az egyes szerver oldali alkalmazasok:
- postfix, imap, pop
- apache, php
- mysql

A host rendszer csak ssh-n erheto el 1 usernek. Igy egy esetleges "arbitrary code execution" vagy barmilyen mas remote sechole eseten csak a szerver adott szegmense erintett, es meg ha ki is hasznaljak a tobbi feladat zavartalanul futhat tovabb. - Mar amennyiben a gep talpon marad, es halozati keresre bir valaszolni. :)

Szepen menedzselheto az is, hogy az egyes vserverek mennyi eroforrast foglalhatnak le (io, mem, cpu).

A TCP/IP-s kerdest nem igazan ertem, de nalam a gepnek van 1 publikus IP-je, ami az 1 szem fizikai interfacehez van hozzarendelve. Ezen felul van meg egy dummy0 privat tartomanybol (192.168.100.1) szarmazo cimmel, amire minden vserver huzhat fel egy aliast maganak kulon-kulon ip-vel, igy tudnak egymassal es a kulvilaggal is kommunikalni. Mindez szepen menedzselheto a hoston tuzfallal. A kulso IP-re beerkezo keresek pedig DNAT-olva vannak a megfelelo vserverekre.
80, 443 -> vapache (192.168.100.4)
25, 110, 143, 993, 995 -> vmail (192.168.100.2)
3306 csak a virtualis belso halorol erheto el -> vmysql (192.168.100.3)

Aztan, hogy mennyire biztonsagos ez a felallas, azt majd az ido megmondja. Eddig meg birta a sarat, bar megtorhetetlen rendszer ugye nincs, legfeljebb a karokat tudod csokkenteni. :)

Frank

[quote:18e07b576f="shirkan"]Hali!
Kipróbáltam az UML-t, ami egy szimpatikus játékszer, de nekem nagyon úgy tűnik, hogy sokkal lassab, mint egy valódi környezet. Pláne ha ebből többet is szeretnék futattni.
shirkan

Hi!

Szerintem az UML-t nyugodtan hasznalhatod, ha nincsenek extrem terhelesek a szerveren. En futtattam mar egyszerre 11-et is. Es szepen elfutott a rendszer. Ket dolgot kell megtenni hogy jo legyen a sebessege:
- skas3 patch kell a kernelbe
- tmpfs-re kell tenni az uml-ek memoriajat (merthogy amikro megadod neki hogy mem=256, akkor letrehoz egy 256MB-s filet a tmp konyvtaradban)

HyGy

Ismerősöm töri a chroot jail megoldást, sommássan csak annyit mondott, hogy felmountolja valahova az eredeti partíciót, majd a chroot-olja.

Szerinte a megoldás, hogy nincs root és a jogok elszórva vannak "fél admin userek közt", esetleg a valami más oprendszert bootolva lehessen csak hozzáférni bizonyos részekhez...

Sajna többet én sem tudok, mert mint mondtam: Ismerősről van szó, aki nem adja ki a titkait.

Hali!

Nézegettem különböző virtuális gépet kialakító programokat és érdekelnének tapasztalatok ezek megbízhatóságával és teljesítményével kapcsolatban.

Kipróbáltam az UML-t, ami egy szimpatikus játékszer, de nekem nagyon úgy tűnik, hogy sokkal lassab, mint egy valódi környezet. Pláne ha ebből többet is szeretnék futattni.

Tudtok vmit ezekről a megoldásokról: vserver, plex86, LVS? Főleg összehasonlítások érdekelnének.

A megoldandó probléma amúgy: szerver gépen kialakítani olyan virtuális környezeteket, amikben különböző szervizek futnak. A cél az lenne, hogy ha ezek közül megtörnek egyet, akkor se lehessen a szerver többi szolgáltatását megpiszkálni.
Pl. adhatnék júzereknek PHP környezetet, vagy akár shell-t is, amit nem merek megtenni a gyakori local root exploit-ok miatt.

shirkan

Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...

[quote:493c6a4a8d="Ysolt"]Szerintem pedig olvass utana a chrootos jail modszerenek.
A "nagyok" ugy csinaljak...

TCP/IP kapcsolat is lehet egy ilyenre linuxon?