Jail we FreeBSD dla www, mysql i postfix

[dong 0]

Witam,

stawiam właśnie nowy serwer na FreeBSD. Chciałbym porobić Jaile dla www, mysql i postfixa. Zrobiłem jednego Jail wg. tego opisu: http://web-dev.pl/jail-we-freebsd

 

Wszystko poszło okej, poza tym, że nie mam w systemie pliku resolv.conf. Na Jaila nie mogę się zalogować przez ssh - wyskakuje błędne hasło, mimo, że ustawiałem komendą passwd. Na Jaila loguje się komendą jail, jednak wtedy nie działa internet - ping, instalacja z ports.

 

Co może być nie tak? Może ktoś zna jakiś lepszy tutorial?

 

Pozdrawiam.

[www.ionic.pl 535]

słąbo znam bsd ale zapewne trzeba wrzucić do jaila owe aplikacje których ma używać user

[que_pasa 5]

Zrobiłem jednego Jail wg. tego opisu: http://web-dev.pl/jail-we-freebsd

Ja jednak wolę handbook

Wszystko poszło okej, poza tym, że nie mam w systemie pliku resolv.conf.

W resolv.conf musisz wpisać dnsy których używasz, syntax taki:

nameserver 12.1345.678.90

Na Jaila nie mogę się zalogować przez ssh - wyskakuje błędne hasło, mimo, że ustawiałem komendą passwd.

logowanie na roota jest domyślnie wyłączone. Zmień w konfigu i zrestartuj demona.

Na Jaila loguje się komendą jail, jednak wtedy nie działa internet - ping, instalacja z ports.

ja do jaila wchodzę uruchamiając powłokę np.

jexec ID csh

ID jaila znajdziesz pwpisując komendę jls (jak nic nie pokaże to znaczy że jail nie działa)

 

poza tym w jailu też musisz mieć resolv.conf (skopiuj z hosta) aby net działał. Dodatkowo ping domyślnie jest zablokowany, dodaj do /etc/sysctl.conf hosta:

security.jail.allow_raw_sockets=1

i wydaj polecenie:

/etc/rc.d/sysctl start

Może ktoś zna jakiś lepszy tutorial?

Znam, oficjalny podręcznik

http://www.freebsd.org/doc/handbook/

 

btw. pokaż co masz jeszcze w /etc/rc.conf hosta, chodzi mi o fragment z konfigiem jaila.

słąbo znam bsd ale zapewne trzeba wrzucić do jaila owe aplikacje których ma używać user

jak to? u mnie jak zmieniałeś płytę główną to od razu system podniosłeś.

[dong 0]

Właśnie problemy w tym, że nie mam na hoście resolv.conf ;D Mam dedyka w kimsufi.

 

rc.conf wygląda tak:

######## JAILS #############
## global settings
jail_enable="yes"
jail_list="nginx"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"

## sshd
jail_nginx_rootdir="/home/jails/nginx"
jail_nginx_hostname="nginx"
jail_nginx_ip="192.168.0.2"
jail_nginx_exec_start="/bin/sh /etc/rc"
jail_nginx_exec_stop="/bin/sh /etc/rc.shutdown"
jail_nginx_devfs_enable="YES"
jail_nginx_procfs_enable="YES"

Jakieś pomysły?

[que_pasa 5]

Właśnie problemy w tym, że nie mam na hoście resolv.conf

To dowiedz się jakie masz adresy serwerów dns i stwórz ten plik

rc.conf wygląda tak:

nie zauważyłem aliasu interfejsu sieciowego, chodzi o coś takiego (np. u mnie):

ifconfig_re0_alias0="12.213.566.189/29"

poza tym zauważyłem, że używasz lokalnego adresu ip (192.168.0.2), rozumiem że tylko z hosta chcesz się logować? Jeśli to jest lokalne to nieco będziesz musiał z firewallem pokombinować by widzieć usługi z zewnątrz.

na razie uprość nieco swój konfig w rc.conf, np tak:

jail_hathor_rootdir="/jails/ebebe.pl"
jail_hathor_hostname="ebebe.pl"
jail_hathor_ip="12.213.566.189"
jail_hathor_devfs_enable="YES"

i ustaw może:

jail_interface="id0"

Pamiętaj, że w jailu też musisz ustawić hostname w rc.conf, i dodaj do startu demony których potrzebujesz.

Mam dedyka w kimsufi.

Przenieś się do ionic to Ci skonfiguruję.

[www.follownet.pl 8]

Jakieś pomysły?

 

Jakie IP ma jail ? Jakieś nieroutowalne ? Wówczas musisz sobie port przekierować za pomocą pf lub ipfw.

[dong 0]

que_pasa zrobiłem jak napisałeś i...

Configuring jails:.
Starting jails:ifconfig: interface id0 does not exist
ifconfig: interface id0 does not exist
cannot start jail "hathor":

 

Po zmienieniu id0 na em0 mam coś takiego:

Configuring jails:.
Starting jails:ifconfig: 12.213.566.189: bad value
ifconfig: 12.213.566.189: bad value
cannot start jail "hathor":

 

Mój rc.conf wygląda w tej chwili tak:

ifconfig_em0_alias0="12.213.566.189/29"
jail_enable="yes"
jail_list="hathor"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"



jail_hathor_rootdir="/home/jails/nginx"
jail_hathor_hostname="ebebe.pl"
jail_hathor_ip="12.213.566.189"
jail_hathor_devfs_enable="YES"
jail_interface="em0"

 

giasek ma 192.168.0.2... jakie mogę ustawić, żeby to działało i było bezpieczne?

[bryn1u 17]

que_pasa zrobiłem jak napisałeś i...

Configuring jails:.
Starting jails:ifconfig: interface id0 does not exist
ifconfig: interface id0 does not exist
cannot start jail "hathor":

 

Po zmienieniu id0 na em0 mam coś takiego:

Configuring jails:.
Starting jails:ifconfig: 12.213.566.189: bad value
ifconfig: 12.213.566.189: bad value
cannot start jail "hathor":

 

Mój rc.conf wygląda w tej chwili tak:

ifconfig_em0_alias0="12.213.566.189/29"
jail_enable="yes"
jail_list="hathor"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"



jail_hathor_rootdir="/home/jails/nginx"
jail_hathor_hostname="ebebe.pl"
jail_hathor_ip="12.213.566.189"
jail_hathor_devfs_enable="YES"
jail_interface="em0"

 

giasek ma 192.168.0.2... jakie mogę ustawić, żeby to działało i było bezpieczne?

 

Napisalem ci na bsdguru.

 

Mozesz uzyc sobie dla ulatwienia ezjail-admin. Tylko, niektore pliki masz w trybie read only i nalozone cflags.

 

 

Napisal ci Artur

Ze musisz wpisac DNS'y ktorych uzywasz. Np: reslov.conf jezeli korzystasz z routera - twoja brama, powinien wygladac tak:

 

nameserver 192.168.1.1

 

Caly resolv.conf kopiujesz do jaila czyli:

 

cp /etc/resolv.conf /usr/jail/www (www - przykladowa nazwa jaila np: u mnie)

 

robisz sobie alias np: przyjmijmy, ze ip dla jaila wew sieci bedzie 192.168.1.6, ip hosta - 192.168.1.5

 

ifconfig em0 inet alias 192.168.1.6/24

 

ifconfig:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 08:00:27:1a:9e:d2
inet 192.168.1.5 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.1.6 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active

[que_pasa 5]

que_pasa zrobiłem jak napisałeś i...

Configuring jails:.
Starting jails:ifconfig: interface id0 does not exist
ifconfig: interface id0 does not exist
cannot start jail "hathor":

 

Po zmienieniu id0 na em0 mam coś takiego:

Configuring jails:.
Starting jails:ifconfig: 12.213.566.189: bad value
ifconfig: 12.213.566.189: bad value
cannot start jail "hathor":

w miejsce hathor wpisz nazwe swojego jaila (ja wkleilem fraagment wlasnego konfiga), podobnie z nazwa interfejsu sieciowego i z numerem ip....

[dong 0]

Prawdopodobnie w moim przypadku trzeba było zrobić NAT.

 

Mój pf.conf

nat on em0 from 192.168.1.2/24 to any -> 188.165.*.*

 

(moje IP specjalnie zamaskowałem na forum:))

 

Mój ifconfig

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
   	options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
   	ether 00:25:90:12:37:a0
   	inet 188.165.*.* netmask 0xffffff00 broadcast 188.165.*.*
   	inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
   	media: Ethernet autoselect (100baseTX <full-duplex>)
   	status: active
em1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
   	options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
   	ether 00:25:90:12:37:a1
   	media: Ethernet autoselect
   	status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
   	options=3<RXCSUM,TXCSUM>
   	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
   	inet6 ::1 prefixlen 128
   	inet 127.0.0.1 netmask 0xff000000
   	nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

 

Mój resolv.conf

search ls
nameserver ns14.ovh.net.
nameserver dns14.ovh.net.

 

DNSy sprawdziłem komendą

nslookup 188.165.*.*

 

Jedno co mnie niepokoi:

pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

 

Załadowałem moduł pf:

kldstat
Id Refs Address        	Size 	Name
1   18 0xffffffff80100000 d6aa98   kernel
2	1 0xffffffff80e6b000 21110	geom_mirror.ko
3	1 0xffffffff80e8d000 90d0 	geom_stripe.ko
4	1 0xffffffff80e97000 5c5d0	if_em.ko
5	1 0xffffffff80ef4000 15e0 	accf_http.ko
6	1 0xffffffff81022000 2bd41	pf.ko
7	1 0xffffffff8104e000 1f3e 	nullfs.ko

 

I jeszcze mój rc.conf z hosta:

ifconfig_em0_alias0="192.168.1.2"

######## JAILS #############
## global settings
jail_enable="yes"
jail_list="ls"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"

## sshd
jail_ls_rootdir="/home/jails/ls"
jail_ls_hostname="ls"
jail_ls="192.168.1.2"
jail_ls_exec_start="/bin/sh /etc/rc"
jail_ls_exec_stop="/bin/sh /etc/rc.shutdown"
jail_ls_devfs_enable="YES"
jail_ls_procfs_enable="YES"

 

I z jaila:

network_interfaces=""
sendmail_enable="NONE"
sshd_enable="YES"
rpcbind_enable="NO"

 

Może teraz ktoś będzie w stanie powiedzieć mi co jest nie tak?

[dong 0]

Dobra działa

Problem w resolv.conf, wpisałem DNSy od Google i działa

[bryn1u 17]

Jedno co mnie niepokoi:

pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

 

Musisz ta opcje (ALTQ) dorzucic do jajka i przekompilowac. To jest chwila moment.

[dong 0]

Nie nie muszę. Wystarczy załadować moduł pf. Doszedłem do tego, że ALTQ jest potrzebne tylko przy ograniczaniu pasma. Temat jest już zamknięty, nie musicie go odkopywać