Bearbeiten von „UUGRN:Jails/Konzept“
Aus UUGRN
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird bei Bearbeitungen öffentlich sichtbar. Melde dich an oder erstelle ein Benutzerkonto, damit Bearbeitungen deinem Benutzernamen zugeordnet werden.
Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und speichere dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 1: | Zeile 1: | ||
− | [[Jails]] sind virtuelle Systeme in [[FreeBSD]], die auf einem gemeinsamen Kernel laufen, jedoch voneinander getrennte Userlands haben, inkl. eigene Benutzer- und root-Rechte. Dieser Artikel soll | + | {{Administrative Hinweise|Das Jailkonzept wird ständig überarbeitet und angepasst. <br /> |
+ | Näheres dazu auf der [[Diskussion:{{PAGENAME}}|Diskussionsseite]]. --[[Benutzer:Rabe|RaBe]] 13:35, 13. Mai. 2007 (CEST) }} | ||
+ | |||
+ | [[Jails]] sind virtuelle Systeme in [[FreeBSD]], die auf einem gemeinsamen Kernel laufen, jedoch voneinander getrennte Userlands haben, inkl. eigene Benutzer- und root-Rechte. | ||
+ | |||
+ | Dieser Artikel soll aufzeigen, was [[UUGRN:Verein|der Verein]] anbietet, welche Voraussetzungen es gibt und welche Mechanismen wirken. | ||
== Vereinsangebot == | == Vereinsangebot == | ||
[[UUGRN:Verein|UUGRN e.V.]] bietet seinen [[UUGRN:Mitgliedschaft|Mitgliedern]] eigene virtuelle Root-Server auf Jail-Basis an. | [[UUGRN:Verein|UUGRN e.V.]] bietet seinen [[UUGRN:Mitgliedschaft|Mitgliedern]] eigene virtuelle Root-Server auf Jail-Basis an. | ||
− | Diese Jails werden derzeit | + | Diese Jails werden derzeit auf [[top.uugrn.org]] gehostet. |
+ | |||
+ | Darüber hinaus werden Jails für teils gemeinsam genutzt Infrastrukturdienste wie etwa Mailserver, Webserver, Shellserver etc. eingesetzt. | ||
+ | |||
+ | |||
− | |||
== Nutzung == | == Nutzung == | ||
Zeile 11: | Zeile 19: | ||
=== Verbindliche Policy === | === Verbindliche Policy === | ||
− | Vor der "Übergabe" eines [[UUGRN:Jails#Mitglieder-Jails|Mitglieder-Jails]] muss die [[ | + | Vor der "Übergabe" eines [[UUGRN:Jails#Mitglieder-Jails|Mitglieder-Jails]] muss die [[Jail-Policy]] anerkannt und unterschrieben werden. Diese definiert, was "fair use" darstellt. |
− | ; | + | ;Die Grundpolicy enthält: Erlaubt ist alles, was einem "fair use" entspricht. |
+ | |||
+ | Diese weitreichende Freiheit wird allerdings definierte Grenzen haben, die überprüft und durchgesetzt werden, um Mißbrauch vorzubeugen. | ||
+ | Im Zweifel sind Aktionen vorher mit der [[UUGRN:Vorstand|Vereinsführung]] oder [[UUGRN:Admin|Administration]] abzustimmen. Sonderregelungen werden öffentlich dokumentiert (Transparenzgebot). | ||
== Einrichtung == | == Einrichtung == | ||
=== Übergabe / Root === | === Übergabe / Root === | ||
− | Voraussetzung für die Schlüsselübergabe für den root-Zugriff ist ein [[UUGRN:Shell|Mitglieder-Account]] auf [[ | + | Die Mitglieder-Jails werden ohne Benutzeraccounts angelegt. |
+ | Voraussetzung für die Schlüsselübergabe für den root-Zugriff ist ein [[UUGRN:Shell|Mitglieder-Account]] auf [[shell.uugrn.org]]. | ||
+ | Zunächst muss dort ein mit Passphrase gesicherter SSH-Key erzeugt werden: | ||
+ | |||
+ | [mitglied@shell ~]$ ssh-keygen -t dsa | ||
+ | |||
+ | Standardmäßig werden hierbei die beiden Dateien <code>~/.ssh/id_dsa</code> und <code>~/.ssh/id_dsa.pub</code> erzeugt. | ||
+ | Vom Einrichter des Mitglieder-Jails wird <code>mitglied@shell:~/.ssh/id_dsa.pub</code> an <code>root@mitgliedsjail:.ssh/authorized_keys</code> angehängt, wodurch das Mitglied sein Jail initial als root einloggen kann: | ||
+ | |||
+ | [mitglied@shell ~]$ ssh root@meinjail.uugrn.org | ||
+ | |||
+ | Nach dem initialen root-Login sollte das root-Passwort unbedingt gesetzt werden: | ||
− | + | [root@meinjail ~]# passwd | |
− | + | und normale Benutzeraccounts eingerichtet werden: | |
+ | |||
+ | [root@meinjail ~]# adduser | ||
+ | |||
+ | Um im eigenen Jail später root werden zu können, muss der angelegte User in der wheel-Gruppe sein. Als primäre Gruppe wird man wohl i.d.R. "staff" nehmen und auf die Frage "Invite user to ... " zusätzlich "wheel" angeben, oder nachträglich in /etc/{{man|freebsd|5|group}} eintragen. | ||
+ | |||
+ | Der SSH-Rootzugriff von mitglied@[[shell.uugrn.org]] aus kann entweder bestehen bleiben, oder aber gelöscht werden. | ||
+ | Hierzu ist es erforderlich, die Datei authorized_keys entsprechend zu bearbeiten: | ||
+ | |||
+ | [root@meinjail ~]# vi ~/.ssh/authorized_keys | ||
=== Basis-Ausstattung === | === Basis-Ausstattung === | ||
− | + | ; FreeBSD Basissystem des jeweils aktuellen Releases: | |
− | ; | + | :* Standardumfang des Basissystems |
+ | ; Shells: | ||
+ | :* bash | ||
+ | :* zsh | ||
+ | :* ksh | ||
+ | ; Standard-Tools: | ||
+ | :* coreutils (The Free Software Foundation's core utilities) | ||
+ | :* findutils (The GNU find utilities) | ||
+ | :* ImageMagick | ||
+ | :* rsync | ||
+ | :* sudo | ||
+ | |||
+ | ;Console-Standardsoftware: | ||
+ | :* Midnight Commander | ||
+ | :* mutt | ||
+ | :* lynx | ||
+ | ;Editoren: | ||
+ | :* vim 6 | ||
+ | :* nano | ||
+ | |||
+ | ; Devel: | ||
+ | :* PERL 5.8 | ||
+ | :** Standardausstattung p5-Module | ||
+ | :* Python | ||
+ | |||
+ | ; Web-Paket: | ||
+ | :* Apache 1.3.x mit mod_ssl | ||
+ | :** div. Zusatzmodule | ||
+ | :* PHP5 plus zahlreiche Module | ||
+ | :* [[smarty]] | ||
+ | :* mod_perl | ||
== Systempflege und Betrieb == | == Systempflege und Betrieb == | ||
=== Basis-System === | === Basis-System === | ||
− | Die Jail-Basissysteme werden zunächst auf | + | Die Jail-Basissysteme werden zunächst auf testjail.uugrn.org getestet. Wir werden auf den jeweiligen RELEASE-Ständen fahren. |
− | + | Updates des Basis-Systems in ''/usr/src'' werden von der Hauptmaschine aus durchgeführt, ebenso wie der idR erforderliche ''mergemaster''. Dabei wird darauf geachtet, dass mauelle Änderungen in /etc nicht überschrieben werden. Bitte wichtige Änderungen mit Kommentar versehen (Zeile obendrüber) und selbst für Sicherheitskopien außerhalb von /etc sorgen. | |
− | Updates des Basis-Systems in ''/usr/src'' werden von der | ||
=== Software === | === Software === | ||
− | Es gibt darüber hinaus ein global verfügbares ''/usr/ports/'', das read-only in allen Jails verfügbar ist | + | Vorkompilierte Packages können direkt aus dem Internet installiert werden. |
− | + | Es gibt darüber hinaus ein global verfügbares ''/usr/ports/'', das read-only in allen Jails verfügbar ist. Über ein script auf [[top.uugrn.org]] werden regelmäßig alle Distfiles von installierten Ports aktualisiert und in ''/usr/ports/distfiles/'' angeboten (''prefetch''). Siehe dazu [[FreeBSD Ports/readonly]]. | |
− | |||
=== Backup === | === Backup === | ||
− | Die [[ | + | Die [[top.uugrn.org|Jail-Maschine]] wird regelmäßig per [[rsync]] auf [[bottom.uugrn.org|eine Ausweichmaschine]] kopiert. |
Derzeit findet dies 1x pro Tag morgens statt. Restore-Wünsche bitte sehr zeitnah kommunizieren. | Derzeit findet dies 1x pro Tag morgens statt. Restore-Wünsche bitte sehr zeitnah kommunizieren. | ||
+ | |||
+ | Geplant ist der Betrieb eines Spiegel-Servers, der als Fallback und Backup läuft. | ||
Eine individuelle Sicherung mit Historie/Rollback findet derzeit nicht statt. | Eine individuelle Sicherung mit Historie/Rollback findet derzeit nicht statt. | ||
− | |||
− | |||
=== Firewall === | === Firewall === | ||
Zeile 57: | Zeile 116: | ||
; Raw-Socket: | ; Raw-Socket: | ||
:* Zugriff auf den raw-Socket sind nicht möglich (z.B. tcpdump) | :* Zugriff auf den raw-Socket sind nicht möglich (z.B. tcpdump) | ||
− | :* ICMP (ping) ist aus den Jails heraus nicht möglich, [[ | + | :* ICMP (ping) ist aus den Jails heraus nicht möglich, [[top.uugrn.org|top]] selbst ist allerdings in der Lage, auf allen IPs ICMP zu empfangen und zu senden. |
'''Diese Policy kann sich jederzeit ändern oder erweitert werden.''' | '''Diese Policy kann sich jederzeit ändern oder erweitert werden.''' | ||
Zeile 75: | Zeile 134: | ||
== Siehe auch == | == Siehe auch == | ||
* [[UUGRN:Jails]] | * [[UUGRN:Jails]] | ||
− | + | * [[Jail-Policy|Verbindliche Regeln für die Verwendung von UUGRN Jails]] | |
− | + | * [[top.uugrn.org]] | |
− | * [[ | + | * [[Jail|Hintergrundinformationen zu BSD Jails]] |
+ | * [[intern.uugrn.org/MySQL|MySQL Zugang auf dem zentralen MySQL Server]] | ||
* [[UUGRN:Mailkonzept]] | * [[UUGRN:Mailkonzept]] | ||
* [[UUGRN:Mitgliedschaft]] | * [[UUGRN:Mitgliedschaft]] | ||
− | |||
− | |||
− | |||
− | |||
[[Kategorie:UUGRN:Jail|!]] | [[Kategorie:UUGRN:Jail|!]] |