 |
|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Anton Shuko 2:5005/66 08 Dec 2003 12:12:56 To : Aleksey Barabanov Subject : так ли необходим сетевой экран? -------------------------------------------------------------------------------- 08 Dec 03 00:19, you wrote to me: >> AB> Это имеется ввиду chroot или что-то иное ? >> chroot + патчи грсека. примерно уже год они дают изоляцию процессов >> чирута AB> А какой у этого патча URL, а то боюсь на "грсек" гугл мне ничего не AB> найдет. я на фрешмите софт ищу :) grsec вполне удовлетворяет для запроса http://www.grsecurity.net это я так понимаю набор нескольких патчей в один + собственные наработки етого дятьки. нехочешь pax - отключи. перешол на него пару лет назад с ядрышком 2.4.18. до этого юзал 2.2 + опенвал. но оно устарело, а смп и нетфильтр у 2.4 были куда лучше, чем 2.2. дождался .18, которое посчитал достаточно стабильным (в этом я не ошибся) и переехал на новое ядро + новая система безопасности. >> от родителя и других чирутов, изоляцию шаред мемори и изоляцию >> сигналов. ну и прочая прочая прочая. посмотрел - вроде достаточно, >> чтобы в чирут загнать не демона, а весь линух. что типерь и делаю. >> нада запускать сибейс AB> Оч. здорово. >> AB> А куда укладывается корень ? >> корень просто рут. тот самый рут, которым пользуются как можно реже. AB> Hет. Мне интересно куда вы его укладываете непосредственно по AB> отношению к истиному руту. В /usr/lib... как иногда делают или еще AB> куда ? Или вы эти новые руты переносите на специальный диск. По AB> отдельности, или каждый в собственной директории ? делаю абстрактную диру, например /jail которая лежит на своём разделе. с неё и начинается новый рут со всеми маунтами унутрь её. >> фаервол поправить, сетевизмы, диск подключить итп. и заодно следить >> за взломами и генерить отчеты, как наиболее защищенная часть >> системы. все апликухи и сервисы либо разносятся по отдельным >> джайлам, либо сидят в куче. AB> Оч. здорово. AB> Вот именно всех в одну кучу это правильно. Я тоже к этому пришел. причина простая: требуется несколько сервисов, которые работают в одном окружении + юзерские акаунты фтп и шелл. разносить и маяться с правами - это не наш путь. если dns может жить в отдельном жайле то нехай там и дальше живет. а если нада ява, пхп, апач, перл, скрипты + девелоперов пускать пошариться то лучше не заморачиваться с созданием исскуственной среды, а взять стандартный дистрибут. >> AB> А не было мысли загнать этот корень на кластер и разместив там >> AB> все актуальные службы сделать failover типа HA ? >> пока что оно мне удобно для быстрого переноса рабочей системы с >> одной железки на другую. причом даже без ребута оных. как и для >> быстрого восстановления системы после умирания железа. будет >> требование (и железо под него) AB> Оч. интересно. >> использовать кластер тады и об этом подумаю... пока что файловер >> достигается рейдом, бекапам, руками и заказчик считает это >> достаточным. AB> Я как-то прочел упоминание о самбовом кластере на HA. Максимум к чему AB> приводит отключение мастера это переконнект клиентов только потому что AB> tcp takeover очень затруднителен для клиентов с продолжительной AB> коннекцией. Для 1С это будет сбросом клиента с последующей монопольной AB> переиндексацией. AB> У меня тоже стоят рейды на всех серверах (ну за исключением одного, но AB> там клиентам на файлы начхать). Hо однажды мне как-то намекнули о AB> системе с горячей заменой.... и я не нашелся что сказать. Hо сделал AB> вывод, что готовится надо... почитай как ретхаты сделали в своём AS. за что мне это решение понравилось, что оно максимально совместимо с имеющимся софтом. обычная система + немного измененные стартовые скрипты + демон + небольшой патч на кернел для блокировки доступа к разделам при работе нескольких машинок с одним внешним рейдом данные находятся во внешнем рейде, который через скази-хаб подключен к 2-3 железкам. одна дохнет - другая перехватывает, поднимает ip, поднимает нужные сервисы итп. для файловера такого типа можно вообще самому на коленке переделать стартовые скрипты и написать этого демона. патч на ядро не нужен. это если по какой-то причине ретхат не нравится. сырцы ихнего сервера лежат в инете. блокировки и прочее у них уже для кластерных решений. >> ЗЫ: в 2.6 юзер спейс включен. пишут, что позволяет виртуализировать >> систему. из того что читал выходит, что оно ближе к бисидишному >> джайлу, чем к 2.4 + грсек. как ядрышко отладят боле-менее можно >> будет поиграться на эту тему с ним... AB> Читаю о 2.6 как сказку. Hо пока, скажем так до весны, это будет не AB> актуально, увы. в твоих силах не ждать сказку, а делать её былью. только гимору на пути первопроходца достаточно... Anton --- GoldED/W32 3.0.1 * Origin: Пиво пить - здоровым быть !!! (2:5005/66) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.linux/18573fd461a6.html, оценка из 5, голосов 10
|
|
|