PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : (FreeBSD) Jails für Linux



hessijens
31.07.08, 11:35
Ich habe folgendes Problem. Für meinen Heimatserver benutze ich Kerberos - funktioniert einwandfrei. Nun habe ich allerdings das Problemchen, das ich für den Internetzugang, für Emails (postfix,cyrus-imap), Samba mit openldap, Kerbeos, openvpn, apache, squid etc... genau einen Computer/Server mit drei Netzwerkkarten eth0 (extern) eth1,eth2 (intern) habe (und mir auch keine weiteren kaufen möchte -Strom ist eben teuer;)).

Da einige Dienste wie openldap, samba, nfs ... nur intern benötigt werden habe ich diese auch nur an die Interne Netzwerkkarte oder an einen alias gebunden. (Samba -> eth1, openldap -> eth1:0, postfix eth1:2, cyrus eth1:3)

Das Problem last sich aber nicht mit dem MIT Kerberos und ntpd lösen, da diese immer alle Interfaces konfigurieren und ich Beispielsweise Mit Kerberos nicht nur an eth1.1 binden kann.

Unter FreeBSD habe ich dies mittels Jails gelöst. Da hier Jails nur an eine Netzwerkadresse gebunden werden läuft der Kerberos, (und postfix, cyrus-imap und openldap) jeweils in einer Jail mit dem entsprechenden IP Adressalias.

Aber wie löse ich das mit SuSE oder Gentoo? Könnte man eventuell eine schlanke Virtuelle Maschiene einsetzen? Ich möchte nicht mit der VMware Keule das Problem erschlagen, dazu sind meine Hardwareresourcen zu wertvoll.

Abschließend noch der Hinweis: Erspart euch den Tipp mittels Firewall die entsprechenden Ports an den externen Interfaces zu blocken, soweit bin ich schon ;) Was ich suche wäre eher eine Jail oder eine schlanke Viertuelle Maschine. Oder einen Tipp Kerberos an ein Interface zu binden ohne den Quellencode zu überarbeiten.

Roger Wilco
31.07.08, 22:48
Im Prinzip bieten RSBAC Jails, Linux-Vserver oder OpenVZ eine ähnliche Funktionalität wie die Jails unter FreeBSD.

Aus Resourcensicht wäre ein kleiner Paketfilter, der den Zugriff auf ntpd und Kerberos verbietet, wesentlich sparsamer und weniger fehleranfällig in der Konfiguration.

Gescheite NTP-Daemons, wie etwa OpenNTPd, lassen sich übrigens durchaus an bestimmte Interfaces binden. ;)

hessijens
01.08.08, 18:02
Im Prinzip bieten RSBAC Jails, Linux-Vserver oder OpenVZ eine ähnliche Funktionalität wie die Jails unter FreeBSD.

Danke, das entspricht in etwa dem was ich suche. Werde alle mal am Wochenende durchprobieren.


Aus Resourcensicht wäre ein kleiner Paketfilter, der den Zugriff auf ntpd und Kerberos verbietet, wesentlich sparsamer und weniger fehleranfällig in der Konfiguration.


Stimmt, der Paketfilter (iptables bzw. pf) läuft sowieso, aber ein Jail hat ja noch weitere Vorteile.


Gescheite NTP-Daemons, wie etwa OpenNTPd, lassen sich übrigens durchaus an bestimmte Interfaces binden.

Richtig. Hiemdal Kerberos übrigens auch. Nur leider ist bei SuSE, mit der ich groß geworden bin, ja MIT Kerberos und xntp mehr oder weniger vorgegeben. Vielleicht steige ich doch noch um auf Gentoo ;)