| 1 |
Am 04.01.2007 um 09:48 schrieb Sebastian van de Meer: |
| 2 |
|
| 3 |
> Hallo Liste... |
| 4 |
> |
| 5 |
> Wie steht ihr dazu mehrere chroots auf einem System produktiv |
| 6 |
> einzusetzten? |
| 7 |
> |
| 8 |
> Habt ihr hier für mich auch ein paar Gründe dafür und gegen? |
| 9 |
> |
| 10 |
> Vielen Dank... |
| 11 |
> |
| 12 |
> |
| 13 |
> Sebastian van de Meer |
| 14 |
> |
| 15 |
> -- |
| 16 |
> gentoo-user-de@g.o mailing list |
| 17 |
> |
| 18 |
> |
| 19 |
|
| 20 |
Hallo! |
| 21 |
|
| 22 |
1. Eingebautes chroot nutzen ( z.B. postfix ). |
| 23 |
|
| 24 |
2. Bei halbautomatischem chroot (z.B. Squid) überlegen, ob ein eigener |
| 25 |
Rechner und xen da nicht sinnvoller ist, z.B. eine Instanz für Squid, |
| 26 |
die nächste für den Webserver, die dritte für die SQL-Datenbank, die |
| 27 |
nächste für named (bind) usw. Denn leider verliert man bei XEN 3D Video. |
| 28 |
Aber ein preiswerter Celeron o.ä. tuts dann für xen. |
| 29 |
|
| 30 |
3. Händisches chroot bei gewissen Spezialdiensten ( z.B. BOINC ) ist |
| 31 |
sinnvoll. |
| 32 |
|
| 33 |
Dann wäre noch dass Problem, dass bei einem emere --update die Software |
| 34 |
in den jails nich automatisch mit aktualisiert wird: Postfix meckert in |
| 35 |
den Lgdateien, wenn eine lib im Jail nicht mit der Lib im System |
| 36 |
übereinstimmt -> per cron und Script prüfen (diff auf lib im jail und |
| 37 |
system-lib ). |
| 38 |
|
| 39 |
Andere Programme schweigen völlig, deswegen auch der Vorschlag, |
| 40 |
weitgehend auf chroot zu verzichten. |
| 41 |
|
| 42 |
Klar ist chroot sicher (wenn man die entsprechenden Artikel im Netz |
| 43 |
gelesen hat) , google mal nach "break chroot jail" oder "compromise |
| 44 |
chroot jail". |
| 45 |
|
| 46 |
Aber xen ist genauso sicher, und IMHO einfacher. |
| 47 |
|
| 48 |
|
| 49 |
Just my 2 ct's, |
| 50 |
Robert |
| 51 |
-- |
| 52 |
http://www.fixe-post.de |
| 53 |
-- |
| 54 |
gentoo-user-de@g.o mailing list |
Archives