Различия

Показаны различия между двумя версиями страницы.

--- freebsd:dev [2011/01/21 13:54]
linko22@gmail.com
+++ freebsd:dev [2011/01/24 14:59] (текущий)
linko22@gmail.com
@@ Строка 29: / Строка 29: @@
-====== Настройка джейлов ======
+====== Настройка работы с джейлами ======
 Для настройки джейлов будем использовать свежеустановленный сервер с FreeBSD. Кто то использует vim или vi, кто то nano, мне удобно пользоваться встроенным редактором в mc.
 Поставим порт управления джейлами
-  cd /usr/ports/sysutils/ezjail
+  [root@dev /]# cd /usr/ports/sysutils/ezjail
-  make install clean
+  [root@dev /]# make install clean
+Добавляем автозапуск джейла, указав в файле /etc/rc.conf:
+  ezjail_enable="YES"
+У меня на сервере самый большой размер имеет раздел /home. Поэтому, берем файл примеров настройки ezjail и копируем его в конфигурационный файл
+  [root@dev /]# cd /usr/local/etc
+  [root@dev /]# cp ezjail.conf.sample ezjail.conf
+В нем берем строку
+  ezjail_jaildir=/usr/jails
+И приводим к виду
+  ezjail_jaildir=/home/jails
+Сохраняем файл и устанавливаем мир для джейлов, для этого используем команду
+  [root@dev /]# ezjail-admin create
+Он лезет в интернет и качает оттуда сборку FreeBSD под текущую систему. В принципе, можно было бы воспользоваться исходниками FreeBSD, если бы Вы их поставили, но так гораздо быстрее. Пока оно все ставиться, можно пойти и налить себе чайку/сходить покурить.
+Вот, все поставилось, теперь наступило время создания управляющего джейла, который будет использовать уже джейлами разработчиков.
+Суть управляющего джейла в чем: каждый разработчик получает в свое пользование полноценную машину с рутовыми правами. Надо оно ему, или не надо, это уже зависит от конкретного разработчика. Соответственно, мы не хотим, что бы он смог там что нибудь поломать, т.е. права у него будут полные, а сломать не может.
+Все это работает как. Согласно документации и тому как делаются джейлы посредством использования утилиты ezjail-admin, при установки мира для джейлов создается костяк окружения, т.е. каталоги /bin /boot /lib /libexec /rescue /sbin /sys, которые являются симлинками на каталог в корне джейла /basejail/bin /basejail/boot /basejail/lib /basejail/libexec /basejail/rescue /basejail/sbin /basejail/sys соответственно, которые в свою очередь ссылаются на каталог /home/jails/basejail. Каталог /basejail монтируется в джейл посредством mount_nullfs в режиме только для чтения, что означает, что пользователь не сможет ничего сделать с системными файлами, ни удалить, не заменить, ни отредактировать. Соответственно, так же примерно монтируются каталоги внутри каталога /usr, за исключением каталога /usr/local, куда пользователь уже может писать и ставить различные порты.
+Но мы пойдем немного дальше. В текущей статье, разработчиков 3, но что делать, если их будет больше? Это по первых, они могут ставить любой порт. Порт можно поставить нормально, можно криво, не хочется потом разбираться, почему так произошло. Так же, они будут иметь право удалять порты, зависимости и прочее. Не говоря уже о том, что при обновлении, придется заходить в каждый джейл и обновлять порты.
+====== Установка первого джейла ======
+Рассмотрим очевидное решение, которое мне показалось разумным.
+Для начала создадим управляющий джейл.
+  [root@dev /]# ezjail-admin create hq.local 10.8.0.200
+Лежать он будет по пути /home/jails/hq.local
+Создаем каталог и сопутствующие подкаталоги
+  [root@dev /]# mkdir /home/jails/baselocaljail/{bin,include,info,lib,libdata,libexec,man,sbin,share,var,www}
+В нашем случае, он будет монтироваться в джейле в каталог /usr/local
+Все точки монтирования определяются файлами /etc/fstab.JAILNAME
+В нашем случае, это будет /etc/fstab.hq_local
+Его содержимое по умолчанию
+  /home/jails/basejail /home/jails/hq.local/basejail nullfs ro 0 0
+Для нашего случая, что бы разработчики не могли ничего делать с установленными портами, кроме как непосредственно работать с ними, необходимо добавить в этот файл еще одну точку монтирования
+  /home/jails/baselocaljail /home/jails/hq.local/baselocaljail nullfs rw 0 0
+Т.е. для управляющего джейла мы его будем монтировать в режиме чтение-запись, для установки или обновления портов, а в случае для разработчиков мы его будем монтировать в режиме только для чтения, за исключением каталога etc, где бы разработчики могли делать необходимые им изменения с конфигурационных файлов сервисов.
+  /home/jails/baselocaljail /home/jails/hq.local/baselocaljail nullfs ro 0 0
+Так же, нам нужно будет работать с портами. Для этого удаляем симлинк с портами в джейле и делаем из него папку, что бы потом просто монтировать папку с портами в джейл.
+  [root@dev /]# rm /home/jails/hq.local/usr/ports ; mkdir /home/jails/hq.local/usr/ports
+Так же прописываем это в /etc/fstab.hq_local
+  /usr/ports /home/jails/hq.local/usr/ports nullfs rw 0 0
+Запускаем непосредственно джейл
+  [root@dev /]# /usr/local/etc/rc.d/ezjail start
+И смотрим в списках джейлов, какой он имеет JID.
+  [root@dev /]# jls
+     JID  IP Address      Hostname                      Path
+  10.8.0.200      hq.local                      /home/jails/hq.local
+Заходим в него
+  [root@dev /]# jexec 1 tcsh
+  hq#
+Все, мы в джейле.
+====== Настройка управляющего джейла ======
+Для того, что бы все установленные порты могли использоваться другими джейлами надо создать несколько симлинков.
+  #hq cd /usr/local/
+  #hq ln -s /baselocaljail/{bin,include,info,lib,libdata,libexec,man,sbin,share,var,www} .
+Т.е. фактически, все основные каталоги, кроме etc будут ссылаться на каталог, который мы примонтировали для джейлов. Во всех джейлах содержимое будет одинаково.
+Для установки портов я использую локальную копию портов и его же локальный кеш distfiles, что бы не качать одни и те же порты, что уже и так есть у меня, когда я настраивал основную систему. Для этого надо подправить один файл, /etc/make.conf, закоментировать строчку DISTDIR
+  #DISTDIR   /var/ports/distfiles
+И, соответственно, поле этого ставим те порты, которые нам нужны.
+====== Джейлы разработчиков ======
+Создаются по такому же принципу, что и управляющий джейл, за исключением того, что, все каталоги монтируются в режиме только для чтения, а каталог с портами вообще не используется.
+====== Подводные камни ======
+Масса.
+Во первых, это php. Как известно, php использует файл /usr/local/etc/php/extenstions.ini для предопределения, какие экстеншены мы будем использовать. При установке какого либо порта для php или для его удаления, необходимо обновлять файл в остальных джейлах и рестартить везде apache. Можно просто обойтись копированием, но я сделал немного по другому.
+В каталоге /baselocaljail у меня есть каталог var, куда я засунул файл extensions.ini. Соответственно, при этом, при обновлении этого файла в управляющем джейле, он будет везде одинаков.
+  #hq mkdir /usr/local/etc/php
+  #hq touch /baselocaljail/var/extensions.ini
+  #hq cd /usr/local/etc/php && ln -s /baselocaljail/var/extensions.ini .
+Далее. При установке какого нибудь дополнительного порта, необходимо в каждом джейле запускать /etc/rc.d/ldcondig
+Например, для этого можно написать простенький скрипт:
+  #!/bin/csh
+  jls | grep user | awk '{ system( "jexec "$1" /etc/rc.d/ldconfig restart");}'
+То же самое относиться к апачу
-Далее, надо установить мир для джейлов, для этого используем команду
+  #!/bin/csh
-  ezjail-admin create
+  jls | grep user | awk '{ system( "jexec "$1" /usr/local/etc/rc.d/apache22 restart");}'
-Он лезет в интернет и качает оттуда сборку FreeBSD под текущую систему. В принципе, можно было бы воспользоваться исходниками FreeBSD, если бы Вы их поставили, но так гораздо быстрее.
+Ну, и конечно, некоторые программы кладут скрипты запуска, а так же файлы конфигураций по пути /usr/local/etc, их уже надо отслеживать руками.
 ====== Настройка bind ======

Linko22's Wiki

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы