FTP Server Jail und Datentransfer in andere Jails

[irie]

Hallo BSD User,

der ein oder andere ist bestimmt auch schon vor dem Problem gestanden was denn der beste Weg ist von einer puren FTP Jail die hochgeladenen Daten in die HTDOCS der jeweiligen Webjails zu verteilen. Ich habe jetzt schon ziemlich lange damit verbracht eine gescheite Lösung zu finden, leider findet sich nichts passendes.

Daher mal die Frage hier im Forum wie ihr denn das ganze so gelöst habt?
Die eine Möglichkeit wäre ja, ein Script vom Basissystem laufen zu lassen, welches per CVSUP in intervalen nachschaut ob neue Daten im FTP-Ordner zur Übertragung an das HTdoc des Webservers vorliegen.
Andere Möglichkeit die ich mir vorstellen könnte ist die jeweiligen HTDocs der anderen Jails in das FTP-Jail zu mounte, was aber mit sicherheit eine riesige Sicherheitslücke verursachen würde.
Bei beiden Möglichkeiten hat man ja unter anderem das Problem, dass er die Zugriffsrechte (Gruppen und Dateiattribute) der Dateien nicht in das Jail mitnimmt da ja das Basis System und jede einzelne Jail ein eigenes Rechtesystem hat.

Wer hat sich denn schon mit dieser Problematik beschäftigt und kann mir eine gute sichere Lösung für diese Hürde beschreiben.

Danke schon mal :-D

[daemotron]

Meine Favoriten wären nullfs oder UnionFS. Daten von "außen" kopieren ist definitiv böse, da über von außen geöffnete File Handles theoretisch ein Ausbruch aus dem Jail möglich wäre (durch NullFS o. ä. würde das aber vermieden, da diese für den Kernel jeweils eigenständige File-Systeme repräsentieren).

[irie]

Okay das is ja schon mal ne gute Information und ein guter Ansatz.

Aber wie bringe ich die Gruppen und Dateiattribute in das andere Jail rüber?
Da ja jedes Subsystem seine eigene Tabelle mit den Berechtigungen führt.

[daemotron]

Du kannst entweder die Login-Datenbanken zwischen den Jails synchronisieren (z. B. in dem Du sie außerhalb der Jails in einem Verzeichnis lagerst und diese Verzeichnisse per Nullfs read-only in die Jails reinschießt und dann mit Symlinks arbeitest) oder mit einer zentralen Userverwaltung (OpenLDAP o. ä.) arbeiten.

[rudelgurke]

Je nachdem wie viele Daten es sind, in einer kleinen Umgebung ging auch ein rsync was mittels uploadscript aufgerufen wurde.

Mounten wäre aber vielleicht die bessere Lösung

[irie]

Das sind schon gute Vorschläge, aber das ganze dann in die Tat umzusetzen, sodass es dann auch noch fehlerfrei läuft ist für mich momentan ein bisschen schwierig und ich weiss einfach nicht wo ich anfangen soll ;-)

An einer detailierten Lösung die bei euch schon im Produtivbetrieb zur Anwendung kommt, wäre sehr hilfreich für mich :-D

Hat jemand Lust ein kleines Howto bezüglich dieses Themas zu schreiben??

[daemotron]

Das sind schon gute Vorschläge, aber das ganze dann in die Tat umzusetzen, sodass es dann auch noch fehlerfrei läuft ist für mich momentan ein bisschen schwierig und ich weiss einfach nicht wo ich anfangen soll ;-)

Klone Deine beiden Jails doch einfach per cpdup und/oder FS-Snapshots (UFS kann das auch!) - dann kannst Du probieren, ohne Dir was produktives zu zerschießen.

An einer detailierten Lösung die bei euch schon im Produtivbetrieb zur Anwendung kommt, wäre sehr hilfreich für mich :-D

Meine "detaillierte" Lösung: Schmeiß FTP weg und verwende stattdessen SFTP; und zwar internal-sftp mit chroot auf das jeweilige Web-Verzeichnis. SFTP respektive OpenSSH ist für mich so vertrauenswürdig, dass ich das im selben Jail mit dem Webserver laufen lasse. Ich halte das Risiko durch von außen geöffnete File-Deskriptoren jedenfalls für größer als dasjenige, das mir ein gut abgesicherter OpenSSH-Daemon beschert.

Hat jemand Lust ein kleines Howto bezüglich dieses Themas zu schreiben??

Dafür ist Deine Problemstellung zu speziell. Und über die allgemeinen Möglichkeiten zur Datenbereitstellung zwischen Jails gibt es ja bereits genügend Material.