Skocz do zawartości
Zaloguj się, aby obserwować  
dong

Jail we FreeBSD dla www, mysql i postfix

Polecane posty

Witam,

stawiam właśnie nowy serwer na FreeBSD. Chciałbym porobić Jaile dla www, mysql i postfixa. Zrobiłem jednego Jail wg. tego opisu: http://web-dev.pl/jail-we-freebsd

 

Wszystko poszło okej, poza tym, że nie mam w systemie pliku resolv.conf. Na Jaila nie mogę się zalogować przez ssh - wyskakuje błędne hasło, mimo, że ustawiałem komendą passwd. Na Jaila loguje się komendą jail, jednak wtedy nie działa internet - ping, instalacja z ports.

 

Co może być nie tak? Może ktoś zna jakiś lepszy tutorial?

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrobiłem jednego Jail wg. tego opisu: http://web-dev.pl/jail-we-freebsd

Ja jednak wolę handbook :)

Wszystko poszło okej, poza tym, że nie mam w systemie pliku resolv.conf.

W resolv.conf musisz wpisać dnsy których używasz, syntax taki:

nameserver 12.1345.678.90

Na Jaila nie mogę się zalogować przez ssh - wyskakuje błędne hasło, mimo, że ustawiałem komendą passwd.

logowanie na roota jest domyślnie wyłączone. Zmień w konfigu i zrestartuj demona.

Na Jaila loguje się komendą jail, jednak wtedy nie działa internet - ping, instalacja z ports.

ja do jaila wchodzę uruchamiając powłokę np.

jexec ID csh

ID jaila znajdziesz pwpisując komendę jls (jak nic nie pokaże to znaczy że jail nie działa)

 

poza tym w jailu też musisz mieć resolv.conf (skopiuj z hosta) aby net działał. Dodatkowo ping domyślnie jest zablokowany, dodaj do /etc/sysctl.conf hosta:

security.jail.allow_raw_sockets=1

i wydaj polecenie:

/etc/rc.d/sysctl start

Może ktoś zna jakiś lepszy tutorial?

Znam, oficjalny podręcznik :)

http://www.freebsd.org/doc/handbook/

 

btw. pokaż co masz jeszcze w /etc/rc.conf hosta, chodzi mi o fragment z konfigiem jaila.

słąbo znam bsd ale zapewne trzeba wrzucić do jaila owe aplikacje których ma używać user :)

jak to? u mnie jak zmieniałeś płytę główną to od razu system podniosłeś. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Właśnie problemy w tym, że nie mam na hoście resolv.conf ;D Mam dedyka w kimsufi.

 

rc.conf wygląda tak:

######## JAILS #############
## global settings
jail_enable="yes"
jail_list="nginx"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"

## sshd
jail_nginx_rootdir="/home/jails/nginx"
jail_nginx_hostname="nginx"
jail_nginx_ip="192.168.0.2"
jail_nginx_exec_start="/bin/sh /etc/rc"
jail_nginx_exec_stop="/bin/sh /etc/rc.shutdown"
jail_nginx_devfs_enable="YES"
jail_nginx_procfs_enable="YES"

Jakieś pomysły? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Właśnie problemy w tym, że nie mam na hoście resolv.conf

To dowiedz się jakie masz adresy serwerów dns i stwórz ten plik

rc.conf wygląda tak:

nie zauważyłem aliasu interfejsu sieciowego, chodzi o coś takiego (np. u mnie):

ifconfig_re0_alias0="12.213.566.189/29"

poza tym zauważyłem, że używasz lokalnego adresu ip (192.168.0.2), rozumiem że tylko z hosta chcesz się logować? Jeśli to jest lokalne to nieco będziesz musiał z firewallem pokombinować by widzieć usługi z zewnątrz.

na razie uprość nieco swój konfig w rc.conf, np tak:

jail_hathor_rootdir="/jails/ebebe.pl"
jail_hathor_hostname="ebebe.pl"
jail_hathor_ip="12.213.566.189"
jail_hathor_devfs_enable="YES"

i ustaw może:

jail_interface="id0"

Pamiętaj, że w jailu też musisz ustawić hostname w rc.conf, i dodaj do startu demony których potrzebujesz.

Mam dedyka w kimsufi.

Przenieś się do ionic to Ci skonfiguruję. ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

que_pasa zrobiłem jak napisałeś i...

Configuring jails:.
Starting jails:ifconfig: interface id0 does not exist
ifconfig: interface id0 does not exist
cannot start jail "hathor":

 

Po zmienieniu id0 na em0 mam coś takiego:

Configuring jails:.
Starting jails:ifconfig: 12.213.566.189: bad value
ifconfig: 12.213.566.189: bad value
cannot start jail "hathor":

 

Mój rc.conf wygląda w tej chwili tak:

ifconfig_em0_alias0="12.213.566.189/29"
jail_enable="yes"
jail_list="hathor"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"



jail_hathor_rootdir="/home/jails/nginx"
jail_hathor_hostname="ebebe.pl"
jail_hathor_ip="12.213.566.189"
jail_hathor_devfs_enable="YES"
jail_interface="em0"

 

giasek ma 192.168.0.2... jakie mogę ustawić, żeby to działało i było bezpieczne? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

que_pasa zrobiłem jak napisałeś i...

Configuring jails:.
Starting jails:ifconfig: interface id0 does not exist
ifconfig: interface id0 does not exist
cannot start jail "hathor":

 

Po zmienieniu id0 na em0 mam coś takiego:

Configuring jails:.
Starting jails:ifconfig: 12.213.566.189: bad value
ifconfig: 12.213.566.189: bad value
cannot start jail "hathor":

 

Mój rc.conf wygląda w tej chwili tak:

ifconfig_em0_alias0="12.213.566.189/29"
jail_enable="yes"
jail_list="hathor"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"



jail_hathor_rootdir="/home/jails/nginx"
jail_hathor_hostname="ebebe.pl"
jail_hathor_ip="12.213.566.189"
jail_hathor_devfs_enable="YES"
jail_interface="em0"

 

giasek ma 192.168.0.2... jakie mogę ustawić, żeby to działało i było bezpieczne? ;)

 

Napisalem ci na bsdguru.

 

Mozesz uzyc sobie dla ulatwienia ezjail-admin. Tylko, niektore pliki masz w trybie read only i nalozone cflags.

 

 

Napisal ci Artur

Ze musisz wpisac DNS'y ktorych uzywasz. Np: reslov.conf jezeli korzystasz z routera - twoja brama, powinien wygladac tak:

 

nameserver 192.168.1.1

 

Caly resolv.conf kopiujesz do jaila czyli:

 

cp /etc/resolv.conf /usr/jail/www (www - przykladowa nazwa jaila np: u mnie)

 

robisz sobie alias np: przyjmijmy, ze ip dla jaila wew sieci bedzie 192.168.1.6, ip hosta - 192.168.1.5

 

ifconfig em0 inet alias 192.168.1.6/24

 

ifconfig:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 08:00:27:1a:9e:d2
inet 192.168.1.5 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.1.6 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

que_pasa zrobiłem jak napisałeś i...

Configuring jails:.
Starting jails:ifconfig: interface id0 does not exist
ifconfig: interface id0 does not exist
cannot start jail "hathor":

 

Po zmienieniu id0 na em0 mam coś takiego:

Configuring jails:.
Starting jails:ifconfig: 12.213.566.189: bad value
ifconfig: 12.213.566.189: bad value
cannot start jail "hathor":

w miejsce hathor wpisz nazwe swojego jaila (ja wkleilem fraagment wlasnego konfiga), podobnie z nazwa interfejsu sieciowego i z numerem ip....

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Prawdopodobnie w moim przypadku trzeba było zrobić NAT.

 

Mój pf.conf

nat on em0 from 192.168.1.2/24 to any -> 188.165.*.*

 

(moje IP specjalnie zamaskowałem na forum:))

 

Mój ifconfig

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
   	options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
   	ether 00:25:90:12:37:a0
   	inet 188.165.*.* netmask 0xffffff00 broadcast 188.165.*.*
   	inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
   	media: Ethernet autoselect (100baseTX <full-duplex>)
   	status: active
em1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
   	options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
   	ether 00:25:90:12:37:a1
   	media: Ethernet autoselect
   	status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
   	options=3<RXCSUM,TXCSUM>
   	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
   	inet6 ::1 prefixlen 128
   	inet 127.0.0.1 netmask 0xff000000
   	nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

 

Mój resolv.conf

search ls
nameserver ns14.ovh.net.
nameserver dns14.ovh.net.

 

DNSy sprawdziłem komendą

nslookup 188.165.*.*

 

Jedno co mnie niepokoi:

pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

 

Załadowałem moduł pf:

kldstat
Id Refs Address        	Size 	Name
1   18 0xffffffff80100000 d6aa98   kernel
2	1 0xffffffff80e6b000 21110	geom_mirror.ko
3	1 0xffffffff80e8d000 90d0 	geom_stripe.ko
4	1 0xffffffff80e97000 5c5d0	if_em.ko
5	1 0xffffffff80ef4000 15e0 	accf_http.ko
6	1 0xffffffff81022000 2bd41	pf.ko
7	1 0xffffffff8104e000 1f3e 	nullfs.ko

 

I jeszcze mój rc.conf z hosta:

ifconfig_em0_alias0="192.168.1.2"

######## JAILS #############
## global settings
jail_enable="yes"
jail_list="ls"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="NO"

## sshd
jail_ls_rootdir="/home/jails/ls"
jail_ls_hostname="ls"
jail_ls="192.168.1.2"
jail_ls_exec_start="/bin/sh /etc/rc"
jail_ls_exec_stop="/bin/sh /etc/rc.shutdown"
jail_ls_devfs_enable="YES"
jail_ls_procfs_enable="YES"

 

I z jaila:

network_interfaces=""
sendmail_enable="NONE"
sshd_enable="YES"
rpcbind_enable="NO"

 

Może teraz ktoś będzie w stanie powiedzieć mi co jest nie tak?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jedno co mnie niepokoi:

pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

 

Musisz ta opcje (ALTQ) dorzucic do jajka i przekompilowac. To jest chwila moment.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie nie muszę. Wystarczy załadować moduł pf. Doszedłem do tego, że ALTQ jest potrzebne tylko przy ograniczaniu pasma. Temat jest już zamknięty, nie musicie go odkopywać ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×