Gabriel wrote on 10/16/2015 00:12:
Urcite chci v jailu alespon ssh pristup na ten server.
Tomuhle nejak nerozumim. Chces si do jailu dat SSHd a z neho spravovat
hostitelsky system?
Ano, viz vyse uvedene. Na hostitelskem systemu budu maximalne upravovat PF
pravidla, takze obecne mit tam kompletni pristup je zbytecne.
Nevim, jake zkusenosti mas s provozem jailu...
Ja to vidim asi nasledovne - pokud v systemu udelas jeden jail a do nej
nacpes vsechny sluzby (krome firewallu), tak se to moc nelisi od toho,
kdyby ti bezely sluzby v hostitelskem systemu.
Pokud budes mit SSHd jen v jailu a ne v hostitelskem systemu, tak uz si
za provozu nikdy nezmenis pravidla firewallu a ani ten stroj nerebootujes.
Kde vidim smysl - pokud bys na tom nginxu / haproxy provozoval nejakou
rizikovou aplikaci, pak by se mohlo vyplatit dat jen ten nginx do jailu,
kde nebude nic jineho co k provozu nepotrebuje nginx. Tim se skrz nginx
nikdo nedostane napriklad ke skutecnemu seznamu uzivatelu a dalsim
vecem, ktere budou jen v hostiteli, ale ne v jailu.
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
