Aktuelle Version |
Dein Text |
Zeile 1: |
Zeile 1: |
| [[Jails]] sind virtuelle Systeme in [[FreeBSD]], die auf einem gemeinsamen Kernel laufen, jedoch voneinander getrennte Userlands haben, inkl. eigene Benutzer- und root-Rechte. Dieser Artikel soll das Konzept der [[UUGRN:Jails]] aufzeigen. | | [[top.uugrn.org]] wird im wesenetlichen Infrastrukturdienste für das Hosting von [[jails]] anbieten. |
|
| |
|
| == Vereinsangebot == | | == Jail-Typen == |
| [[UUGRN:Verein|UUGRN e.V.]] bietet seinen [[UUGRN:Mitgliedschaft|Mitgliedern]] eigene virtuelle Root-Server auf Jail-Basis an.
| | === Infrastruktur-Jails (I) === |
| Diese Jails werden derzeit überwiegend auf [[UUGRN:Server/top|top.uugrn.org]] gehostet.
| | Infrastruktur-Jails erfüllen eine zentrale Afugabe für den Betrieb als solchen. |
| | Die haben eine auf den Zweck zugeschittene Grundkonfiguration und auch spezielle Zugriffsrechte und Firewall-Regeln. |
| | Root-Rechte liegen bei der Administration des Vereins. Ein Userbetrieb findet NICHT statt. |
|
| |
|
| Darüber hinaus werden Jails für teils gemeinsam genutzt Infrastrukturdienste wie etwa [[UUGRN:Jails/mail|Mailserver]], Webserver, [[UUGRN:Shell|Shellserver]] etc. eingesetzt.
| | === Mitglieder-Jails (M) === |
| | Mitglieder-Jails werden mit einer Grundkonfiguration initialisiert, die einen gewissen Standardumfang erfüllt. |
| | Das jeweilige Mitglied hat root-Rechte am eigenen Jail. |
| | Ein spezielles Sammeljail "home" beitet für alle Mitglieder Zugriff auf eine gemeinsame Umgebung, der Name wird evtl noch in "members" umgetauft. |
|
| |
|
| == Nutzung == | | === Partner-Jails (P) === |
| Das Jail-Konzept gewährt dem [[UUGRN:Mitgliedschaft|einzelnen Mitglied]] weitreichende Eigenverantwortung. Damit es jedoch nicht zu Betriebsbeeinträchtigungen kommt, müssen jewisse Standardregeln definiert und befolgt werden:
| | Kooperationspartner von UUGRN bekommen für eigene Projekte (und ggf auch User) ein Jail zur Verfügung gestellt. |
| | Hier gelten abweichend von der normalen Policy individuelle Zugriffsrechte und Befugnisse. |
|
| |
|
| === Verbindliche Policy ===
| |
| Vor der "Übergabe" eines [[UUGRN:Jails#Mitglieder-Jails|Mitglieder-Jails]] muss die [[UUGRN:Jails/Nutzungsbedingungen|Jail-Policy]] anerkannt und unterschrieben werden. Diese definiert, was "fair use" darstellt.
| |
| ; siehe dazu: [[UUGRN:Jails/Nutzungsbedingungen]]
| |
|
| |
|
| == Einrichtung == | | == Einrichtung == |
| === Übergabe / Root ===
| |
| Voraussetzung für die Schlüsselübergabe für den root-Zugriff ist ein [[UUGRN:Shell|Mitglieder-Account]] auf [[UUGRN:Jails/shell|shell.uugrn.org]]. Im Homeverzeichnis von username@shell.uugrn.org:.ssh/keyname muss ein gesicherter SSH-Key generiert werden. Der Publickey (.ssh/keyname.pub) wird initial als root-Login in root@userjail.uugrn.org:/root/.ssh/authorized_keys eingetragen.
| |
|
| |
|
| Mit Hilfe dieses Root-Logins im Jail können dann weitere Benutzer angelegt werden, mit denen man sich ohne Umweg über [[UUGRN:Jails/shell|shell.uugrn.org]] einloggen kann.
| | == Systempflege == |
| | |
| ;siehe dazu: [[UUGRN:Jails/einrichten]]
| |
| | |
| === Basis-Ausstattung ===
| |
| {{UUGRN:Jails/Templates/Navigation}}
| |
| ; siehe auch: [[UUGRN:Jails/Templates]]
| |
| | |
| == Systempflege und Betrieb == | |
| === Basis-System === | | === Basis-System === |
| Die Jail-Basissysteme werden zunächst auf [[UUGRN:Jails/sandbox]] getestet.
| | === Software (ports) === |
| | |
| Updates des Basis-Systems in ''/usr/src'' werden von der [[UUGRN:Server/top|Hauptmaschine]] aus durchgeführt, ebenso wie der idR erforderliche ''mergemaster''. Dabei wird darauf geachtet, dass mauelle Änderungen in /etc nicht überschrieben werden. Bitte wichtige Änderungen mit Kommentar versehen (Zeile obendrüber) und '''selbst für Sicherheitskopien außerhalb von /etc sorgen'''.
| |
| | |
| === Software === | |
| Es gibt darüber hinaus ein global verfügbares ''/usr/ports/'', das read-only in allen Jails verfügbar ist, siehe auch [[FreeBSD/Ports/readonly]].
| |
| | |
| Alles unter /usr/ports/ wird außerhalb der Jails gepflegt, im Wesentlichen sind es das regelmäßige Update der Ports, das Herunterladen der aktuellen Distfiles aller Installierten Ports in allen Jails (/usr/ports/distfiles/) und das periodische zur Verfügung stellen von vorkompilierten Packages unter /usr/ports/packages/.
| |
| | |
| === Backup ===
| |
| Die [[UUGRN:Server/top|Jail-Maschine]] wird regelmäßig per [[rsync]] auf [[UUGRN:Server/charm]] kopiert.
| |
| Derzeit findet dies 1x pro Tag morgens statt. Restore-Wünsche bitte sehr zeitnah kommunizieren.
| |
| | |
| Eine individuelle Sicherung mit Historie/Rollback findet derzeit nicht statt.
| |
| | |
| ;siehe auch: [[UUGRN:Backup]] und [[UUGRN:Server/top/backup]]
| |
| | |
| === Firewall ===
| |
| Die aktuelle '''Firewall-Policy''' für Mitglieder-Jails ist folgende:
| |
| | |
| ; TCP und UDP:
| |
| :* Ein- und ausgehende Verbindungen für TCP und UDP sind frei
| |
| :;Ausnahmen:
| |
| ::* Port 25/tcp wird über zentrales MX angeboten (Spamschleudern etc), siehe [[UUGRN:Mailkonzept]]
| |
| ::* Port 53/udp wird über zentralen DNS gehostet. Einrichtung und Pflege eigener Domains ist möglich (über ''hidden Primary''), siehe [[UUGRN:DNS-Konzept]].
| |
| Auf speziellen Wunsch können weitere deny-Regeln eingerichtet werden
| |
| | |
| ; Raw-Socket:
| |
| :* Zugriff auf den raw-Socket sind nicht möglich (z.B. tcpdump)
| |
| :* ICMP (ping) ist aus den Jails heraus nicht möglich, [[UUGRN:Server/top|top]] selbst ist allerdings in der Lage, auf allen IPs ICMP zu empfangen und zu senden.
| |
| | |
| '''Diese Policy kann sich jederzeit ändern oder erweitert werden.'''
| |
| | |
| === Was tun im Nofall? ===
| |
| Jedes Mitglied kann sein eigenes Jail von innen heraus selbst stoppen:
| |
| als root einfach <code># kill -9 -1</code> ausführen, beendet alle Prozesse im Jail-Kontext, das Jail wird somit gestoppt.
| |
| Ein Neustart kann durch die Administration veranlasst werden.
| |
|
| |
|
| === Beendigung === | | == Backup == |
| * Ein Jail wird auf eigenen Wunsch des Mitglieds hin entweder zweitweise deaktiviert oder gelöscht, z.B. wenn keine weitere aktive Nutzung (und Pflege) mehr gewünscht ist bzw. stattfindet.
| |
| * Ein Jail wird im Notfall durch die Systemadministration deaktiviert und dokumentiert (z.B. bei Mißbrauch // Abwenden weiterer Schäden)
| |
| * Ein Jail wird auf eigenen Wunsch oder bei Vorliegen entsprechender Gründe gelöscht.
| |
| * Auf Wunsch kann das Jail in Form einer Datensicherung (Gnu-tar) zur Verfügung gestellt werden.
| |
|
| |
|
| | == Verbindliche Policy == |
|
| |
|
| == Siehe auch == | | === Regeln bei Verstoß === |
| * [[UUGRN:Jails]]
| |
| :* [[UUGRN:Jails/Nutzungsbedingungen|Verbindliche Regeln für die Verwendung von UUGRN Jails]]
| |
| :* [[UUGRN:MySQL|MySQL Zugang auf dem zentralen MySQL Server]]
| |
| * [[UUGRN:Server/top|top.uugrn.org]]
| |
| * [[UUGRN:Mailkonzept]]
| |
| * [[UUGRN:Mitgliedschaft]]
| |
|
| |
|
| * [[Jail|Hintergrundinformationen zu BSD Jails]]
| | == Was tun im Nofall? == |
|
| |
|
| ;Unterseiten:
| |
| <splist />
| |
|
| |
|
| | == Jail-Liste == |
| | Jails sind an IP-Adressen gekoppelt. Die folgende Liste gibt einen ersten Entwurf der vergebenen Jails wieder. |
| | Ein eigenes Jail bekommt jeder, der Mitglied im Verein ist auf Nachfrage, sobald die Maschine einsatzbereit ist. |
|
| |
|
| [[Kategorie:UUGRN:Jail|!]] | | {| border="1" |
| | ! IP |
| | ! Name |
| | ! Typ |
| | ! Beschreibung |
| | |- |
| | | 195.49.138.98 |
| | | intern.uugrn.org |
| | | I |
| | | Interne Infrastrukturdienste, zB [[MySQL]] |
| | |- |
| | | 195.49.138.99 |
| | | verein.uugrn.org |
| | | I |
| | | Externe Infrastrukturdienste, z.B. [[Apache]], [[IRC]] |
| | |- |
| | | 195.49.138.100 |
| | | home.uugrn.org |
| | | M |
| | | User-Jail für (alle) Mitglieder von UUGRN |
| | |- |
| | | 195.49.138.101 |
| | | mile.uugrn.org |
| | | M |
| | | Michael Lestinsky |
| | |- |
| | | 195.49.138.102 |
| | | rabe.uugrn.org |
| | | M |
| | | Raphael Becker |
| | |- |
| | | 195.49.138.103 |
| | | sky.uugrn.org |
| | | M |
| | | Michael Sommer |
| | |- |
| | | 195.49.138.104 |
| | | lion.uugrn.org |
| | | M |
| | | Philipp Schafft |
| | |- |
| | | 195.49.138.105 |
| | | che.uugrn.org |
| | | M |
| | | Hans Hermann Schafft |
| | |- |
| | | 195.49.138.106 |
| | | klotz.uugrn.org |
| | | M |
| | | Alexander Klotz |
| | |- |
| | | 195.49.138.107 |
| | | unger.uugrn.org |
| | | M |
| | | Jürgen Unger |
| | |- |
| | | 195.49.138.108 |
| | | hgw.uugrn.org |
| | | M |
| | | Hans-Günther Weigand |
| | |- |
| | | 195.49.138.109 |
| | | mh.uugrn.org |
| | | M |
| | | Markus Hochholdinger |
| | |- |
| | | 195.49.138.110 |
| | | bert.uugrn.org |
| | | M |
| | | Bertold Roth |
| | |- |
| | | 195.49.138.111 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.112 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.113 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.114 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.115 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.116 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.117 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.118 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.119 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.120 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.121 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.122 |
| | | .uugrn.org |
| | | M |
| | | |
| | |- |
| | | 195.49.138.123 |
| | | noname.uugrn.org |
| | | P |
| | | Partnerjail [[NoName|NoName e.V.]] <!-- sofern es zustande kommt --> |
| | |- |
| | | 195.49.138.124 |
| | | sandbox.uugrn.org |
| | | I |
| | | Jail zum Basteln und Ausprobieren |
| | |- |
| | | 195.49.138.125 |
| | | testjail.uugrn.org |
| | | I |
| | | Jail zum Testen neuer "Produktions"-Jails (pre-rollout) |
| | |- |
| | |} |