Forum Debian Users Gang

Jak stworzysz pierwszy kontener, to w cache będziesz miał jego kopię, potem przy próbie tworzenia kolejnego kontenera, system ci będzie tworzył z tego cache, a ty sobie tylko edytujesz odpowiednie pliki i masz tyle maszyn ile chcesz i konfigurujesz im sieć jak chcesz.

LCX i te Jaile?
Nie jest to jakaś szczególna rewelacja, jeżeli procek wspiera wirtualizację, to maszyna wirtualna maszyna kvm powoduje podobne obciążenie, jak kontener LXC, a oferuje pełną wirtualizację, każda maszyna ma własne jajo, własne sterowniki, i mim zdaniem to jest trochę lepsze wyjście, niż  chrooty na sterydach, jak OpenVZ czy LXC.

Jeśli zależy Ci na ovecommit-memory, to w KVM też jest.

Ostatnio edytowany przez Jacekalex (2014-07-09 20:40:30)

[quote=HaPe]Ujmijmy to nieco inaczej. Sprawa związana jest z moim drugim wątkiem. Chcę niektórym użytkownikom w systemie zarezerwować porty tcp/udp.
I nie wiem na razie jak to rozwiązać, pewnie skończy się na Debianie z jądrem kfreebsd.[/quote]
Od Debiana z jajem BSD znacznie lepszy i stabilniejszy jest BSD.

Rezerwacja portów tcp i udp per user?
Po co?

Stawiasz jedną maszynkę KVM, potem kopiujesz obraz VM dla każdego pacjenta, każdej robisz interfejs TAP z osobnym IP, i każdy ma 65536 portów do dyspozycji w przypadku, kiedy maszyna ma publiczny IP.
W przypadku Ip prywatnego, połączenia do sieci idą przez maskaradę, i wtedy maszyny muszą się tymi portami podzielić.

Jeszcze jest opcja zrobiona chyba specjalnie do LXC, osobny podsystem sieciowy, ale tam też jest wirtualny interfejs z własnym IP, i też nie ma osobnej zabawy z portami.

W FAQ na forum masz przepis na Firefoxa w osobnym podsystemie sieciowym.
http://dug.net.pl/drukuj/262/uruchamianie_firefoksa_w_osobnej_przestrzeni_nazw_zasobow_sieciowych_%28osobna_kopia_stosu_sieciowego%29_i_przekierowanie_calego_ruchu_poprzez_siec_tor/
Możesz się tym pobawić.

Chyba, że chcesz zalatwiać sprawę systemem ACL, w SElinuxie nie pomogę, bo się nim nie bawiłem na tym poziomie (choć wiem, że to wykonalne), ale w ACL Grseca to bułka z masłem:
https://grsecurity.net/gracldoc.htm#IP_ACLs
Tylko łatkę grsec trzeba nałożyć na źródła i skompilować kernel,
do tego skompilować Gradm i narzędzia do Paxa, w Debianie o ile mi wiadomo, nie ma ich w repo.
Tu masz więcej "po polskiemu" o konfiguracji Grsec ACL.
http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml?style=printable

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2014-07-09 20:58:12)

Kiepściutko czytałeś, w tym ACL, dlka każdego pacjenta można zdefiniować osobną rolę z osobnymi uprawieniami dla binarek, portów i flag paxa.
Ta dokumentacja gracl wyżej, jest zgodna z prawda, ale dokument ma 10 latek.
Tu masz aktualniejszą wersję:
http://en.wikibooks.org/wiki/Grsecurity/The_RBAC_System
Rolę dla konkretnego pacjenta robi się tak:
http://en.wikibooks.org/wiki/Grsecurity/The_RBAC_System#User_Roles

Składnia jest stosunkowo prosta, jest też rola default, ale przy kilku - kilkunastu pacjentach, polityka może mieć ze trzy metry, a przy okazji poważnie spowolnić działanie sytemu.
Także lepiej nie przesadzać z nadmierną szczegółowością polityki.
http://grsecurity.net/researchpaper.pdf

Ostatnio edytowany przez Jacekalex (2014-07-09 21:13:59)

Złe przeżycia? I tak spróbuję, choćby z ciekawości.
Czy możliwe jest poskromienie lxc z rbac, tak aby reguły miały zastosowanie do użytkowników wewnątrz kontenera?

Ostatnio edytowany przez HaPe (2014-07-09 22:15:49)