FreeBSD Jail oder nicht

pinkiehaut
Posts: 5
Joined: 2014-09-01 15:46

FreeBSD Jail oder nicht

Post by pinkiehaut »

Hallo,

wahrscheinlich schon häufig diskutiert würde ich dieses Thema gerne mal aktuell beleuchten.

Macht es Sinn Jails auf einem Root Server zu nutzen.
Wie betreibt Ihr Eure Server?

Gruß

Pinkie
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: FreeBSD Jail oder nicht

Post by Joe User »

Wofür würdest Du Jails denn genau einsetzen wollen und ist es den Mehraufwand wert?

Ich setze Jails auf Grund des für mich persönlich fehlenden Kosten-Nutzen-Vorteils nicht ein. Bei mir ist der Aufwand zum Pflegen der Jails höher, als der potentielle Nutzen. Aber das ist meinen persönlichen Gegebenheiten geschuldet und keine allgemein gültige Feststellung.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

pinkiehaut
Posts: 5
Joined: 2014-09-01 15:46

Re: FreeBSD Jail oder nicht

Post by pinkiehaut »

Bisher habe ich versucht bei allen meinen Servern z.B. Nginx pro Domain , MariaDB , Git / SVN , Teamspeak, usw. getrennt in eigenen Jails zu betreiben. Teils auch mit seperatem SSH Zugang da z.B. Vereinsseiten.

Nun will ich endlich mal einen für mich :-)
Und ich sehe es ähnlich wie Du .. für meinen Server ist mir der Pflege Aufwand zu hoch den ich hier noch zusätzlich betreiben müßte.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: FreeBSD Jail oder nicht

Post by daemotron »

Ich habe auf meinen Maschinen die Dienste auf verschiedene Jails verteilt. Die Gründe dafür sind aber etwas komplexer. Natürlich spielt Sicherheit eine Rolle; einigen Applikationen traue ich schlicht nicht; da gab es in der Vergangenheit immer wieder mal Zero Day Exploits (u. a. einige Java-basierte Applikationen, und die JVM ist nun mal ein sicherheitstechnischer Albtraum, aber auch einige PHP Webapplikationen mit entsprechend negativem "Track Record", wie z. B. phpMyAdmin). Jails bieten da zumindest begrenzt ein gewisses "Sandboxing". Der zweite gewichtige Grund: für verschiedene Dienste benötige ich teils unterschiedlich konfigurierte oder sich gegenseitig ausschließende Pakete (bzw. Ports). Und schließlich kann ich ein Jail (zumindest so, wie ich es für mich aufgebaut habe) einfach schnappen und den Dienst auf einen anderen Server verschieben. zfs und ssh reichen dafür völlig aus.

Allerdings gebe ich Euch recht, dass der Verwaltungsaufwand für Jails nicht ganz unerheblich ist, zumal freebsd-update immer noch nicht zuverlässig mit Jails funktioniert (der Hack mit den Umgebungsvariablen kann böse nach hinten losgehen). Für mich selbst habe ich eine Lösung basierend auf ZFS gebaut, die mit zfs send / zfs receive arbeitet, was sich durch ein paar selbst gebaute Shell Skripte recht gut automatisieren lässt. Zusätzlich habe ich mir mit Poudriere eigene Paket-Repositories aufgebaut, die sich ebenfalls automatisiert auf dem aktuellen Stand halten lassen. So hält sich dann für mich der Wartungsaufwand in Grenzen; ist aber immer noch deutlich höher als bei einem System ohne Jails.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top

User avatar
rudelgurke
Systemtester
Systemtester
Posts: 380
Joined: 2008-03-12 05:36

Re: FreeBSD Jail oder nicht

Post by rudelgurke »

Ich habe mir auch die Arbeit gemacht Dienste in eine eigene Jail zu "sperren". Die Jails selbst liegen auf einem HAST Volume dass zwischen 2 physischen Hosts geschwenkt werden kann - rein für Fallover Zwecke.
Updates innerhalb der Jails laufen mit einem einfachen Script dass ggf. Dienste neu startet - ist kein großer Zirkus.

Drunter liegt ein ZFS Volume so dass mittels Snapshot (geht auf per UFS) recht einfach ein Backup erstellt werden kann dass woanders via Kloning hochgezogen wird - ein neuer Webserver ist so schnell aufgesetzt ohne erst diverse Config's zu bearbeiten und Pakete zu installieren.
Top

Who is online

Users browsing this forum: Google [Bot], Istella [Bot] and 1666 guests