1 |
Am 04.01.2007 um 09:48 schrieb Sebastian van de Meer: |
2 |
|
3 |
> Hallo Liste... |
4 |
> |
5 |
> Wie steht ihr dazu mehrere chroots auf einem System produktiv |
6 |
> einzusetzten? |
7 |
> |
8 |
> Habt ihr hier für mich auch ein paar Gründe dafür und gegen? |
9 |
> |
10 |
> Vielen Dank... |
11 |
> |
12 |
> |
13 |
> Sebastian van de Meer |
14 |
> |
15 |
> -- |
16 |
> gentoo-user-de@g.o mailing list |
17 |
> |
18 |
> |
19 |
|
20 |
Hallo! |
21 |
|
22 |
1. Eingebautes chroot nutzen ( z.B. postfix ). |
23 |
|
24 |
2. Bei halbautomatischem chroot (z.B. Squid) überlegen, ob ein eigener |
25 |
Rechner und xen da nicht sinnvoller ist, z.B. eine Instanz für Squid, |
26 |
die nächste für den Webserver, die dritte für die SQL-Datenbank, die |
27 |
nächste für named (bind) usw. Denn leider verliert man bei XEN 3D Video. |
28 |
Aber ein preiswerter Celeron o.ä. tuts dann für xen. |
29 |
|
30 |
3. Händisches chroot bei gewissen Spezialdiensten ( z.B. BOINC ) ist |
31 |
sinnvoll. |
32 |
|
33 |
Dann wäre noch dass Problem, dass bei einem emere --update die Software |
34 |
in den jails nich automatisch mit aktualisiert wird: Postfix meckert in |
35 |
den Lgdateien, wenn eine lib im Jail nicht mit der Lib im System |
36 |
übereinstimmt -> per cron und Script prüfen (diff auf lib im jail und |
37 |
system-lib ). |
38 |
|
39 |
Andere Programme schweigen völlig, deswegen auch der Vorschlag, |
40 |
weitgehend auf chroot zu verzichten. |
41 |
|
42 |
Klar ist chroot sicher (wenn man die entsprechenden Artikel im Netz |
43 |
gelesen hat) , google mal nach "break chroot jail" oder "compromise |
44 |
chroot jail". |
45 |
|
46 |
Aber xen ist genauso sicher, und IMHO einfacher. |
47 |
|
48 |
|
49 |
Just my 2 ct's, |
50 |
Robert |
51 |
-- |
52 |
http://www.fixe-post.de |
53 |
-- |
54 |
gentoo-user-de@g.o mailing list |