Благодарю за умные мысли и подсказки. 1) думаю попробовать MariaDB 10 или Percona 5.6 (странно, что 5.7 в портах нет)
2) Добился, что внутри jail localhost правильно ресолвится и сервисы типа: memcached_enable="YES" memcached_flags="-l localhost -t 4 -m 32 -p 11211 -P /var/run/memcached/memcached.pid" # правильно слушают нужные ipv4 и ipv6 адреса. 19 марта 2016 г., 14:55 пользователь Eugene Grosbein <eu...@grosbein.net> написал: > On 19.03.2016 19:41, Vladislav V. Prodan wrote: > > > > > Неправда. На лупбек, как и на любой другой интерфейс, можно повесить > алиасом > > вообще любой адрес. > > Можно. Но обязательно первым в списке IP из 127/8 :) > > Необязательно. > > > > Если на lo0 будут другие IP, отличные от 127/8, то к некоторым > сервисам коннектов не будет, ибо там жесткий ACL - только из 127/8. > > Нет такого ACL. Есть обратное - если из других интерфейсов приходят > пакеты с адресами из 127/8, > > то они дропаются, таково требование RFC. Но это вовсе не запрещает > использовать на лупбеках > > хоть даже и публично маршрутизируемые адреса. Более того, это > распространенная практика. > > > > Если не будет первого в списке IP из 127/8, то src IP из jail будет не > из 127/8. Тот же Mysql по дефолту не пускают коннекты не из localhost. > > Так то по дефолту. Если разрешить доступ - прекрасно пускает. > Кроме того, как я уже говорил, подключение "к localhost" выполняется через > mysql.sock, > а не по TCP и проблемы нет. > > > > > Хочется обойти момент и не переписывать везде в настройках > клиентского ПО localhost. > > > Этого не избежать. Вообще непонятна страсть везде предполагать > локальный mysqld, > > > когда он прекрасно работает и в удаленном варианте. > > > Нужно сооружать роутинг между jail'ами, а это не всегда секьюрно. > > > > "Сооружать" это громко сказано, всё работает само. > > И не вижу проблем с безопасностью при общении процессов разных jail > между собой при необходимости, > > это в любом случае безопасней, чем общение процессов внутри одного > jail. > > > > Одно дело открыть для одного порта или сервиса взаимодействие, а другое > дело для всей jail > > И вот как ограничить общение только между двумя jail ? > > Множество способов. Можно использовать предусмотренные ограничения доступа > уровня приложений (hosts.allow, ограничения внутри MySQL etc.). Можно > пакетным > фильтром добавлять правила для пакетов, бегающих через лупбек. Всё зависит > от конкретных задач. > > > Когда делаешь allow.sysvipc = 1 и описываешь devfs_ruleset , то ты > открываешь доступ к этой jail для всех jail на этой хост машине, а не > только конкретной. > > SYSV IPC это отдельная тема, я говорил об IP. > > -- Vladislav V. Prodan System & Network Administrator support.od.ua
