Em 10/08/2012 10:46, vic escreveu: > Em 2012-08-09 19:25, Marcelo Gondim escreveu: >> Pessoal, >> >> Como muitos aqui sabem o vimage é a virtualização da interface de >> rede >> nas jails, sendo que carregar a jail usando o vimage e subir os >> serviços >> dentro da jail é um pouco ruim e ainda não é contemplado pelo script >> /etc/rc.d/jail. Achei umas coisas na Internet e montei um artigo que >> espero que seja útil pra alguém. :) >> >> >> http://www.bsdinfo.com.br/2012/08/09/jail-com-vimage-carregando-automaticamente-no-boot/ >> >> A única coisa estranha que encontrei foram os panics sempre que eu >> dava >> um stop nas jails. Mas acredito que ainda saia alguma correção pra >> isso. >> rsrsrs >> >> Grande abraço à todos, >> >> Gondim >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Legal Gondim. Para não dar panic, basta não destruir as interfaces > epairX > > O que eu faço é criar todas as interfaces epair com o cloned_interfaces > no /etc/rc.conf. > > Daí nas jails, ao invés de criar de dar um create e destroy e dou um up > e down. > > Uma outra alternativa que existe é utilizar interfaces do netgraph[1] > no lugar do driver epair. Não testei elas no 9.0-RELEASE, só no 8.2 e > até onde lembro davam menos panic que a epair. > > Seguem outras dicas que aprendi com o vimage: > > - Use ipfw. Antes o PF dava panic randômicos com o vimage. A partir do > 9.0-RELEASE isso melhorou. > - Não use o virtualbox, principalmente se for usar bridge. Se colocar > uma VM do virtualbox na mesma bridge das jails é panic. > > Só falta uma coisa para esse setup ficar excelente e é algo que eu > estou tentanto fazer: usar o / readonly e em comum à todas as jails, e > deixar rw, apenas o /var, /etc, /dev, /root, /tmp, /usr/ports e > /usr/local
vic estava matutando quanto à isso que você disse. Você pode tentar usar chflags na estrutura da jail. Não testei ainda aqui mas acredito que funcione e aí você poderia deixar algumas coisas imutáveis dando uma proteção maior. Você pensou nisso? ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
