Robert Kania napsal/wrote, On 09/29/09 23:01:
z meho pohledu se tim dost rozmazava rozdil jail/chroot
Z meho pohledu jail nikdy neprestal byt work in progress a stale jeste
preferuju postavte tam druhy pocitac jako reseni prvni volby.
Pripoustim, ze v pripade nekoho kdo poskytuje hosting je
Jen pro doplneni:
-
Processes within the jail will find that they are unable to interact or
even verify the existence of processes outside the jail -- processes
within the jail are prevented from delivering signals to processes
outside the jail, as well as connecting to
Dan Lukes wrote:
Z meho pohledu jail nikdy neprestal byt work in progress a stale jeste
preferuju postavte tam druhy pocitac jako reseni prvni volby.
Pripoustim, ze v pripade nekoho kdo poskytuje hosting je skutecne treba
sahnout po nejake forme souziti na jednom pocitaci, ale to je vyjimka z
Radim Kolar wrote:
[...]
Spravne by komunikovat pres sdilenou pamet jit nemelo nicmene nikdo
zatim sys V ipc nevirtualizoval, takze to sysctl tam je aby sel
spustit pgsql v jailu.
On uz Sys V IPC nekdo virtualizoval, ale opet se toho tyka muj povzdech
z predchoziho mailu - nenaslo si to
Robert Kania wrote:
Zdravim,
mam server s nekolika jaily, z nichz v jednom je mysql server. Rad bych
se z jineho jailu pripojil k tomuto mysql pres socket.
Pokud adresar se socketem namountuji do druheho jailu (nullfs), tak
dostavam pri pokusu o spojeni chybu ECONNREFUSED (61).
[...]
Robert Kania napsal(a):
Zdravim,
mam server s nekolika jaily, z nichz v jednom je mysql server. Rad bych
se z jineho jailu pripojil k tomuto mysql pres socket.
Pokud adresar se socketem namountuji do druheho jailu (nullfs), tak
dostavam pri pokusu o spojeni chybu ECONNREFUSED (61).
Vilem Kebrt wrote:
Pokud je potreba prechazet napriklad kvuli databasim mezi jaily, da
se to resit na IP urovni, socket jako takovy pokud vim se mezi jaily
pouzit z principu nema.
Sedive, drahy priteli, jsou vsechny teorie, a vecne zeleny je strom zivota.
Ne vazne - ja vim, ze to jde pres
Robert Kania napsal/wrote, On 09/29/09 18:58:
Ne vazne - ja vim, ze to jde pres TCP/IP, nicmene na to jsem se
neptal. Zajima mne moznost spojeni pres IPC socket, abych mohl obe
varianty vyzkouset a rozhodnout se ktera bude vyhodnejsi (vykonove a
klidne i bezpecnostne). Jaily v tomto pripade
Dan Lukes wrote:
Neni mi jasne, kterou vlastnost jailu pouzivas, kdyz vzajemne oddeleni
procesu to neni.
Nemam zatim nazor na bug or feature. Zjistuju, jakou vlastnost jailu
potrebujes soucasne s potrebou IPC ...
potrebujes je asi prilis silne, ja tu vlastnost nepotrebuji nutne,
pouze
Dan Lukes wrote:
To me prave pripada, ze tohle vsechno zajistuje v podstate uz chroot.
Jail k tomu pridava to oddeleni. Takze procesy v ruznych jailech
by (IMHO) skutecne spolu nemeli mit moznost komunikovat jako by
oddelene nebyly a tudiz moznost ze to jde mam tendenci spis vnimat
jako
Robert Kania wrote:
[...]
ano, mas pravdu, chroot by k tomu co potrebuji byl v moji konfiguraci
asi take pouzitelny. Jaily jsem zvolil zejmena kvuli jejich velmi
pohodlne sprave pomoci ezjailu. K chroot prostredi zadny takovy nastroj
neznam (na druhou stranu priznavam ze jsem ho ani nehledal).
Takto to jsem bez problemu schopen akceptovat. Pokud by to takto bylo jasne
deklarovano, tak bych to prijal jako fakt. Nicmene v praxi se to tak
evidentne nechova a z meho pohledu se tim dost rozmazava rozdil jail/chroot.
Na jednu stranu existuje sysctl jako security.jail.sysvipc_allowed,
Dle aktualni potreby muzu jednotlive virtualni servery presouvat mezi
fyzickymi stroji za behu (tj. bez ovlivneni ostatnich virtualnich
serveru), popripade je velmi rychle klonovat (napr. pro vytvoreni
testovacich prostredi, dalsich slave serveru, ...)
^-- Prave tu vidim iste protirecenie:
13 matches
Mail list logo
