19 марта 2016 г., 14:10 пользователь Eugene Grosbein <[email protected]>
написал:
> On 19.03.2016 18:41, Vladislav V. Prodan wrote:
>
> > В режиме --skip-grant-tables --skip-networking
>
> А пункт 3 не пропущен ли?
>
> 3. In the mysql client, tell the server to reload the grant tables so that
> *account-management statements work*:
> mysql> FLUSH PRIVILEGES;
>
> > mysql> ALTER USER 'root'@'localhost' IDENTIFIED BY 'MyNewPass';
> > ERROR 1396 (HY000): Operation ALTER USER failed for 'root'@'localhost'
> >
> > mysql> SET PASSWORD FOR 'root'@'localhost' = PASSWORD('MyNewPass');
> > ERROR 1133 (42000): Невозможно отыскать подходящую запись в таблице
> пользователей
> >
> > mysql> UPDATE mysql.user SET authentication_string =
> PASSWORD('MyNewPass')
> > -> WHERE User = 'root' AND Host = 'localhost';
> > Query OK, 0 rows affected, 1 warning (0,20 sec)
> > Совпало записей: 0 Изменено: 0 Предупреждений: 1
> >
> > > На хосте и jail могут пересекаться запущенные сервисы. Кроме как
> делать непересекающиеся алиасы из
> > > 127/8 для каждого jail'a - лучше не придумал.
> >
> > Адрес надо брать НЕ из лупбек-диапазона 127/8. Например, из
> 172.20/16.
> > jails это симуляция отдельных хостов, а не лупбеков.
> >
> > А вот это мысль еще хуже.
> > Для использования на loopback зарезервирована только сеть 127/8.
>
> Неправда. На лупбек, как и на любой другой интерфейс, можно повесить
> алиасом
> вообще любой адрес.
>
>
Можно. Но обязательно первым в списке IP из 127/8 :)
> > Если на lo0 будут другие IP, отличные от 127/8, то к некоторым сервисам
> коннектов не будет, ибо там жесткий ACL - только из 127/8.
>
> Нет такого ACL. Есть обратное - если из других интерфейсов приходят пакеты
> с адресами из 127/8,
> то они дропаются, таково требование RFC. Но это вовсе не запрещает
> использовать на лупбеках
> хоть даже и публично маршрутизируемые адреса. Более того, это
> распространенная практика.
>
Если не будет первого в списке IP из 127/8, то src IP из jail будет не из
127/8. Тот же Mysql по дефолту не пускают коннекты не из localhost.
>
> > > > Базу планируется использовать внутри jail. Там же находятся
> и клиенты.
> > > Если клиенты находятся в отдельных от базы jail, надо сразу
> забыть
> > > про подключение к "localhost", вписать в hosts или в DNS имя,
> соответствующее
> > > IP-адресу mysql-ного jail и все подключения делать по этому
> имени вместо "localhost"
> > > и всё будет работать.
> > > Хочется обойти момент и не переписывать везде в настройках
> клиентского ПО localhost.
> > Этого не избежать. Вообще непонятна страсть везде предполагать
> локальный mysqld,
> > когда он прекрасно работает и в удаленном варианте.
> > Нужно сооружать роутинг между jail'ами, а это не всегда секьюрно.
>
> "Сооружать" это громко сказано, всё работает само.
> И не вижу проблем с безопасностью при общении процессов разных jail между
> собой при необходимости,
> это в любом случае безопасней, чем общение процессов внутри одного jail.
>
>
Одно дело открыть для одного порта или сервиса взаимодействие, а другое
дело для всей jail
И вот как ограничить общение только между двумя jail ?
Когда делаешь allow.sysvipc = 1 и описываешь devfs_ruleset , то ты
открываешь доступ к этой jail для всех jail на этой хост машине, а не
только конкретной.
--
Vladislav V. Prodan
System & Network Administrator
support.od.ua
