Бүлэг 16. Jails буюу Шоронгууд

This translation may be out of date. To help with the translations please access the FreeBSD translations instance.

16.1. Ерөнхий агуулга

Энэ бүлэг нь FreeBSD-ийн шоронгууд гэж юу болох, тэдгээрийг хэрхэн ашиглах талаар тайлбарлах болно. Шоронгууд буюу заримдаа chroot орчнуудын өргөжүүлсэн орлуулалт гэгддэг энэ боломж нь системийн администраторуудад зориулагдсан маш хүчтэй хэрэгсэл боловч тэдгээрийн үндсэн хэрэглээ нь илүү дэвшилтэт хэрэглэгчдэд бас үр ашигтай байдаг.

Шоронгууд нь хүчирхэг хэрэгсэл боловч аюулгүй байдлын хувьд мундаг биш юм. Шоронд хийсэн процесс өөрөө оргох боломжгүй ч шоронгийн гаднах зөвшөөрөлгүй хэрэглэгч шоронд байгаа зөвшөөрөлтэй хэрэглэгчтэй холбогдож улмаар хост орчинд эрх дээшлүүлэх хэд хэдэн арга байдаг гэдгийг мэдэх нь чухал юм.

Эдгээр ихэнх халдлагуудыг хост орчин дахь зөвшөөрөлгүй хэрэглэгчдийн хувьд шоронгийн root руу хандах боломжгүй болгосноор шийдэж болох юм. Гэхдээ ерөнхийдөө итгэл олгогдоогүй бөгөөд шоронд зөвшөөрөлтэй хандах хэрэглэгчдэд хост орчинд хандах эрх өгөх ёсгүй юм.

Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:

  • Шорон гэж юу болох, FreeBSD-ийн суулгалтуудад ямар зорилгоор ашиглагдаж болох талаар.

  • Шоронг хэрхэн бүтээх, эхлүүлэх, болон зогсоох талаар.

  • Шоронгийн гадна болон дотор талаас хийгдэж болох удирдлагын үндсүүд.

Шоронгийн тухай ашигтай мэдээллийн өөр бусад эхүүдийг дурдвал:

  • jail(8) гарын авлагын хуудас. Энэ нь jail хэрэгслийн бүрэн гүйцэд авлага юм - jail нь FreeBSD дээр FreeBSD шоронгуудыг эхлүүлэх, зогсоох, болон хянахад ашиглагдаж болох удирдлагын хэрэгсэл юм.

  • Захидлын жагсаалтууд болон тэдгээрийн архивууд. FreeBSD ерөнхий асуултууд захидлын жагсаалт болон бусад захидлын жагсаалтуудын архивууд нь FreeBSD жагсаалтын сервер дээр байрладаг бөгөөд шоронгуудын талаар маш баялаг материалуудыг агуулсан байдаг. Архивуудаас хайх юм уу эсвэл freebsd-questions захидлын жагсаалт уруу шинэ асуултаа илгээх нь үргэлж сонирхолтой байдаг.

16.2. Шоронгуудтай холбоотой ойлголтууд

Шоронгуудтай холбоотой FreeBSD системийн хэсгүүд, тэдгээрийн дотоод хэсгүүд болон FreeBSD-ийн бусад хэсэгтэй хэрхэн харилцдаг арга замыг илүүтэй ойлгохыг хөнгөвчлөхийн тулд энэ бүлэгт дараах ойлголтуудыг ашиглах болно:

chroot(8) (тушаал)

Процесс болон түүний бүх үр удмуудын root санг өөрчилдөг FreeBSD-ийн chroot(2) системийн дуудлагыг ашигладаг хэрэгсэл.

chroot(2) (орчин)

"chroot"-д ажиллаж байгаа процессуудын орчин. Үүнд харагдаж байгаа файлын системийн хэсэг, байгаа хэрэглэгч болон бүлэг, сүлжээний интерфэйсүүд болон бусад IPC арга замууд гэх мэт эх үүсвэрүүд ордог.

jail(8) (тушаал)

Шоронгийн орчин дотор процессуудыг ажиллуулах боломжийг олгох системийн удирдлагын хэрэгсэл.

хост (систем, процесс, хэрэглэгч, гэх мэт.)

Шоронгийн системийн хяналтын систем. Хост систем нь байгаа бүх тоног төхөөрөмжийн эх үүсвэрүүдэд хандах боломжтой байдаг бөгөөд шоронгийн орчны болон түүний гаднах процессуудыг хянаж чаддаг. Хост системийн шоронгоос ялгарах нэг чухал ялгаа нь шорон доторх супер хэрэглэгчийн процессуудад хамаарах хязгаарлалтууд хост системийн процессуудын хувьд үйлчилдэггүй явдал юм.

хост хийгдсэн (систем, процесс, хэрэглэгч, гэх мэт.)

FreeBSD шоронгоор эх үүсвэрүүдэд ханддаг хандалт нь хязгаарлагддаг процесс, хэрэглэгч эсвэл бусад зүйлс.

16.3. Танилцуулга

Системийн удирдлага нь хэцүү, самууруулмаар ажил болохоор администраторын амьдралыг хялбар болгох үүднээс олон хүчирхэг хэрэгслүүд хийгдэж хөгжүүлэгдсэн байдаг. Эдгээр хэрэгслүүд нь системийг суулгах, тохируулах, болон арчлахад нэгэн төрлийн өргөтгөлүүдийг ихэвчлэн хангаж өгдөг. Администраторуудын хийх ёстой эдгээр ажлуудын нэг хэсэг нь системийн аюулгүй байдлыг зөв тохируулах явдал юм. Ингэснээр аюулгүй байдлын зөрчлүүдгүйгээр систем өөрийн жинхэнэ зорилгоороо үйлчлэх болно.

FreeBSD системийн аюулгүй байдлыг сайжруулахад ашиглагдаж болох хэрэгслүүдийн нэг нь jails буюу шоронгууд юм. Шоронгуудыг FreeBSD 4.X дээр Poul-Henning Kamp <phk@FreeBSD.org> анх танилцуулсан юм. Гэхдээ тэдгээрийг хүчирхэг, уян хатан дэд систем болгохын тулд FreeBSD 5.X дээр илүү ихээр сайжруулсан билээ. Тэдгээрийн ашигтай тал, ажиллагаа болон найдвартай байдлыг өргөжүүлэн тэдгээрийн хөгжүүлэлт үргэлжилсэн хэвээр болой.

16.3.1. Шорон гэж юу вэ

BSD-тэй төстэй үйлдлийн системүүд нь 4.2BSD-ийн үеэс эхлэн chroot(2) боломжтой болсон билээ. chroot(8) хэрэгсэл нь процессуудын олонлогийн root санг өөрчлөхөд ашиглагдаж аюулгүй орчин үүсгэн системийн бусад хэсгээс тэдгээрийг тусгаарладаг. chroot хийгдсэн орчинд үүсгэгдсэн процессууд нь өөрийн орчноос гаднах файлууд болон эх үүсвэрүүдэд хандаж чаддаггүй. Энэ шалтгаанаар chroot хийгдсэн орчинд ажиллаж байгаа үйлчилгээг эвдэх нь халдагчид бүхэл системийг эвдэх боломжийг олгох ёсгүй юм. chroot(8) хэрэгсэл нь маш их уян хатан чанар эсвэл төвөгтэй, дэвшилтэт боломжуудыг шаарддаггүй хялбар ажлуудад сайн байдаг. Мөн chroot ойлголтын эхлэлээс эхлээд л chroot хийгдсэн орчноос зугтах олон арга замууд олдсон бөгөөд хэдийгээр тэдгээр нь FreeBSD цөмийн орчин үеийн хувилбаруудад засагдсан боловч chroot(2) нь үйлчилгээнүүдийг аюулгүй болгоход зориулагдсан туйлын шийдэл биш нь тодорхой байсан юм. Үүнтэй холбоотой шинэ дэд систем хийгдэх шаардлагатай болсон байна.

Энэ нь шоронгууд яагаад хөгжүүлэгдсэн гол шалтгаануудын нэг юм.

Шоронгууд нь уламжлалт chroot(2) орчны ойлголтуудыг хэд хэдэн аргаар сайжруулдаг. Уламжлалт chroot(2) орчинд процессууд нь өөрийн хандаж болох файлын системийн нэг хэсэгт хязгаарлагдаж байдаг. Системийн бусад эх үүсвэрүүд (системийн хэрэглэгчид, ажиллаж байгаа процессууд, эсвэл сүлжээний дэд систем зэрэг) нь chroot хийгдсэн процессууд болон хост системийн процессуудын хооронд хуваалцан хэрэглэгддэг. Шоронгууд нь зөвхөн файлын систем уруу хандах хандалт биш бас хэрэглэгчид, FreeBSD цөмийн сүлжээний дэд систем болон бусад хэд хэдэн зүйлсүүдийг виртуалчлан энэ загварыг өргөтгөдөг байна. Шорон болгосон орчны хандалтыг тааруулахад зориулсан илүү бүрэн гүйцэд нарийн тааруулсан хяналтуудын олонлог байдаг нь Нарийн тааруулалт болон удирдлага хэсэгт тайлбарлагдсан байгаа.

Шорон дөрвөн элементээр тодорхойлогддог:

  • Сангийн дэд мод - шоронгийн орж ирдэг эхлэл цэг. Шорон дотор орсны дараа процессийг энэ дэд модноос гадна зугтахыг зөвшөөрдөггүй. Анхдагч chroot(2) дизайныг зовоосон аюулгүй байдлын уламжлалт асуудлууд нь FreeBSD шоронгуудад байдаггүй.

  • Хостын нэр - шорон дотор ашиглагдах хостын нэр. Шоронгууд нь сүлжээний үйлчилгээнүүдийг хост хийхэд (байрлуулах) ихэвчлэн ашиглагддаг болохоор шорон бүрийн хувьд тодорхойлсон нэртэй байх нь системийн администраторт ихээхэн тус болж чадах юм.

  • IP хаяг - энэ нь шорон бүрт өгөгдөх бөгөөд шоронгийн оршин тогтнох хугацаанд ямар ч талаараа өөрчлөгдөх ёсгүй. Шоронгийн IP хаяг нь ихэвчлэн байгаа сүлжээний интерфэйсийн alias хаяг байх боловч заавал тийм байх шаардлагагүй юм.

  • Тушаал - шорон дотор ажиллах програм/тушаалын зам. Энэ нь шоронгийн орчны root сантай харьцангуй байх бөгөөд шоронгийн тусгай очны төрлөөс хамаараад асар өөр өөр байж болох юм.

Эдгээрээс гадна шоронгууд нь өөрийн гэсэн хэрэглэгчид болон өөрийн root хэрэглэгчтэй байж болдог. Мэдээжийн хэрэг root хэрэглэгчийн хүч чадал шоронгийн орчин дотор хязгаарлагддаг бөгөөд хост системийн үүднээс авч үзвэл шоронгийн root хэрэглэгч нь бүхнийг чадагч хэрэглэгч биш юм. Мөн шоронгийн root хэрэглэгчид өөрийнх нь харгалзах jail(8) орчноос гадна осолтой үйлдлүүдийг систем дээр хийлгэхийг зөвшөөрдөггүй. root хэрэглэгчийн боломжууд болон хязгаарлалтуудын тухай дэлгэрэнгүй мэдээллийг Нарийн тааруулалт болон удирдлага хэсэгт доор хэлэлцэх болно.

16.4. Шоронг үүсгэж хянах нь

Зарим администраторууд шоронг дараах хоёр төрөлд хуваадаг: эдгээр нь жинхэнэ FreeBSD системтэй адил төстэй "бүрэн" шоронгууд болон нэг програм юм уу эсвэл үйлчилгээнд зориулагдсан, магадгүй зөвшөөрлүүдтэй ажиллах "үйлчилгээ" шоронгууд юм. Энэ нь зөвхөн ухагдахууны хуваагдал бөгөөд шоронг бүтээх процесс үүнд хамаагүй юм. jail(8) гарын авлагын хуудас шоронг бүтээх аргачлалын талаар маш тодорхой зааварласан буй:

# setenv D /here/is/the/jail
# mkdir -p $D (1)
# cd /usr/src
# make buildworld (2)
# make installworld DESTDIR=$D (3)
# make distribution DESTDIR=$D (4)
# mount -t devfs devfs $D/dev (5)
1Шоронгийн байрлалыг сонгох нь хамгийн шилдэг эхлэх цэг юм. Энэ нь шорон физикээр өөрийн хостын файлын систем дотор байрлах байрлал юм. Сайн сонголт нь /usr/jail/jailname байж болох бөгөөд энд байгаа jailname нь шоронг таниулж байгаа хостын нэр юм. /usr/ файлын систем нь шоронгийн файлын системийн хувьд ихэвчлэн хангалттай зайтай байдаг. Үндсэндээ "бүрэн" шоронгуудын хувьд энэ шоронгийн файлын систем нь үндсэн FreeBSD системийн андагч суулгацад байдаг бүх файлуудын хуулбар байдаг.
2Хэрэв та өөрийн хэрэглэгчийн талбарыг make world эсвэл make buildworld тушаалаар аль хэдийн бүтээсэн бол та энэ алхмыг алгасаж өөрийн хэрэглэгчийн талбарыг шинэ шорон руу суулгаж болно.
3Энэ тушаал нь шоронгийн физик байрлал болгон сонгосон сангийн дэд модыг файлын систем дээр шаардлагатай хоёртын файлууд, сангууд, гарын авлагын хуудаснууд гэх зэргүүдийг тараан байрлуулах болно.
4make тушаалд зориулагдсан distribution тохируулга нь бүх шаардлагатай тохиргооны файлыг суулгана, өөрөөр хэлбэл энэ нь /usr/src/etc/ сангийн бүх суулгаж болох файлуудыг шоронгийн орчны /etc сан болох $D/etc/ руу хуулдаг.
5Шорон дотор devfs(8) файлын системийг холбох шаардлагагүй. Нөгөө талаас авч үзвэл дурын, бараг бүх програм өөрийн зорилгоосоо хамааран хамгийн багаар бодоход ядаж ганц төхөөрөмжид хандах шаардлагатай байдаг. Шорон дотроос төхөөрөмжид хандах хандалтыг хянах нь маш чухал байдаг. Учир нь буруу тохируулгууд халдагчид шорон дотор муухай зүйлс хийх боломжийг олгож болох юм. devfs(8) дээрх хяналтыг devfs(8) болон devfs.conf(5) гарын авлагын хуудаснуудад тайлбарласан дүрмийн олонлогуудаар удирддаг.

Шорон суулгагдсаны дараа jail(8) хэрэгсэл ашиглан түүнийг эхлүүлж болно. jail(8) хэрэгсэл дөрвөн зайлшгүй шаардлагатай нэмэлт өгөгдлийг авдаг бөгөөд эдгээр нь Шорон гэж юу вэ хэсэгт тайлбарлагдсан байгаа болно. Өөр бусад нэмэлт өгөгдлүүдийг бас зааж өгч болох бөгөөд өөрөөр хэлбэл шорон хийгдсэн процессийг тухайн нэг хэрэглэгчийн итгэмжлэлүүдтэй ажиллуулж болох юм. command-н нэмэлт өгөгдөл нь шоронгийн төрлөөс хамаарна; виртуал системийн хувьд /etc/rc нь боломжийн сонголт байна. Энэ нь жинхэнэ FreeBSD системийн эхлүүлэх дарааллыг хуулбарлах учраас тэр юм. Үйлчилгээ шоронгийн хувьд шорон дотор ажиллах үйлчилгээ эсвэл програмаас энэ нь хамаарна.

Шоронгууд нь ихэвчлэн ачаалах үед эхлүүлэгддэг бөгөөд FreeBSD rc арга зам нь үүнийг хийх хялбар аргаар хангадаг.

  1. Ачаалах үед эхлэхээр идэвхжүүлэгдсэн шоронгуудын жагсаалтыг rc.conf(5) файлд нэмэх ёстой:

    jail_enable="YES"   # Set to NO to disable starting of any jails
    jail_list="www"     # Space separated list of names of jails

    jail_list хувьсагчид өгөгдсөн байгаа шоронгийн нэрс зөвхөн үсэг, тооноос бүрдсэн байх ёстой.

  2. Шорон бүрийг тайлбарласан rc.conf(5) тохируулгуудын бүлэг jail_list-д жагсаагдсан шорон бүрийн хувьд доор дурдсаныг нэмэх ёстой:

    jail_www_rootdir="/usr/jail/www"     # jail's root directory
    jail_www_hostname="www.example.org"   # jail's hostname
    jail_www_ip="192.168.0.10"          # jail's IP address
    jail_www_devfs_enable="YES"          # mount devfs in the jail
    jail_www_devfs_ruleset="www_ruleset" # devfs ruleset to apply to jail

    rc.conf(5)-д тохируулагдсан шоронгуудын анхдагч эхлүүлэлт нь шоронг бүрэн виртуал систем гэж тооцдог шоронгийн /etc/rc скриптийг ажиллуулах болно. Үйлчилгээний шоронгуудын хувьд jailjailnameexec_start тохируулгыг зохистойгоор тохируулан шоронгийн анхдагч эхлүүлэх тушаалыг өөрчлөх ёстой.

    Тохируулгуудын бүрэн жагсаалтыг rc.conf(5) гарын авлагын хуудаснаас үзнэ үү.

Шоронд зориулагдсан оруулга rc.conf файлд байгаа тохиолдолд service(8) шоронг гараар эхлүүлэх эсвэл зогсооход ашиглагдаж болох юм:

# service jail start www
# service jail stop www

Одоогоор jail(8)-г зогсоох цэвэр зам байхгүй байгаа. Цэвэр системийн зогсолтыг хийх тушаалуудыг шорон дотор ашиглах боломжгүй байдаг болохоор тэр юм. Шоронг зогсоох хамгийн шилдэг арга бол дараах тушаалыг шорон дотроос ажиллуулах эсвэл шоронгийн гадна jexec(8) хэрэгслийг ашиглах явдал юм:

# sh /etc/rc.shutdown

Үүний талаар дэлгэрэнгүй мэдээллийг jail(8) гарын авлагын хуудаснаас олж болно.

16.5. Нарийн тааруулалт болон удирдлага

Аль ч шоронд зориулж тохируулж болох хэд хэдэн тохируулгууд байдаг бөгөөд өндөр түвшний програмуудыг хийхийн тулд хост FreeBSD системийг шоронгуудтай цуг хослуулах төрөл бүрийн аргууд бас байдаг. Энэ хэсэг нь дараах зүйлсийг үзүүлнэ:

  • Ажиллагаа болон шоронгийн суулгалтаар хийгдсэн аюулгүй байдлын хязгаарлалтуудыг тааруулахад зориулагдсан зарим тохируулгууд.

  • FreeBSD-ийн портын цуглуулгад байх, шорон дээр суурилсан шийдлүүдийг хийхэд ашиглагдаж болох шорон удирдах зарим нэг өндөр түвшний програмууд.

16.5.1. FreeBSD дээр шорон тааруулах системийн хэрэгслүүд

Шоронгийн тохиргооны нарийн сайн тааруулалтыг sysctl(8) хувьсагчуудыг тохируулснаар ихэвчлэн хийдэг. Бүх хамаатай тохируулгуудыг зохион байгуулах үндэс болон sysctl-ийн тусгай дэд мод байдаг: энэ нь FreeBSD цөмийн тохируулгуудын security.jail.* шатлал юм. Энд шоронтой холбоотой гол sysctl-уудын жагсаалтыг тэдгээрийн анхдагч утгуудтайгаар харуулав. Нэрс нь өөрийгөө тайлбарласан байгаа, гэхдээ тэдгээрийн талаар илүү мэдээллийг jail(8) болон sysctl(8) гарын авлагын хуудаснуудаас лавлана уу.

  • security.jail.set_hostname_allowed: 1

  • security.jail.socket_unixiproute_only: 1

  • security.jail.sysvipc_allowed: 0

  • security.jail.enforce_statfs: 2

  • security.jail.allow_raw_sockets: 0

  • security.jail.chflags_allowed: 0

  • security.jail.jailed: 0

root хэрэглэгчид анхдагчаар ноогдуулсан хязгаарлалтуудын заримыг нэмэх эсвэл хасахын тулд эдгээр хувьсагчуудыг хост системийн администратор ашиглаж болно. Зарим нэг хязгаарлалтуудыг хасаж болохгүйг тэмдэглэе. root хэрэглэгчид jail(8) дотор файлын системүүдийг холбох эсвэл салгахыг зөвшөөрдөггүй. Шорон доторх root хэрэглэгч devfs(8) дүрмийн олонлогуудыг дуудах эсвэл буцааж болиулах, галт ханын дүрмүүдийг тохируулах, эсвэл цөмийн securelevel хувьсагчийг тохируулах зэрэг цөм дэх өгөгдлийн өөрчлөлтүүдийг шаарддаг өөр олон бусад удирдлагын ажлуудыг хийж чадахгүй байж болох юм.

FreeBSD-ийн үндсэн систем нь идэвхтэй шоронгуудын тухай мэдээллийг үзүүлэх болон удирдлагын тушаалуудыг ажиллуулахын тулд шоронд залгагдаж болох хялбар хэрэгслүүдийн цуглуулгыг агуулдаг. jls(8) болон jexec(8) тушаалууд нь FreeBSD-ийн үндсэн системийн хэсэг бөгөөд дараах хялбар ажлуудыг хийж гүйцэтгэхэд ашиглагдаж болно:

  • Идэвхтэй байгаа шоронгуудын жагсаалт болон тэдгээрийн харгалзах шорон танигч (JID), IP хаяг, хостын нэр болон замыг үзүүлнэ.

  • Өөрийнх нь хост системээс ажиллаж байгаа шоронд залгагдаж шорон дотор тушаал ажиллуулах юм уу эсвэл шоронгийн удирдлагын ажлуудыг шорон дотор ажиллуулна. root хэрэглэгч шоронг цэвэрхэн зогсоож унтраахыг хүсэх үед энэ нь ялангуяа ашигтай байдаг. Шорон дотор удирдлага хийхийн тулд түүн дотор бүрхүүл эхлүүлэхэд jexec(8) хэрэгсэл бас ашиглагдаж болдог; жишээ нь:

    # jexec 1 tcsh

16.5.2. FreeBSD-ийн портын цуглуулга дахь өндөр түвшний удирдлагын хэрэгслүүд

Шорон удирдлагад зориулагдсан гуравдагч талуудын олон хэрэгслүүдийн дундаас хамгийн бүрэн гүйцэд, ашигтай нь sysutils/jailutils юм. Энэ нь jail(8)-ийн удирдлагад хувь нэмэр болсон жижиг програмуудын цуглуулга юм. Дэлгэрэнгүй мэдээллийн талаар түүний вэб хуудсанд хандана уу.

16.6. Шоронгийн хэрэглээ

16.6.1. Үйлчилгээ шоронгууд

Энэхүү хэсэг нь Simon L. B. Nielsen <simon@FreeBSD.org> хөгжүүлэгчийн http://simon.nitro.dk/service-jails.html хуудас болон Кен Том locals@gmail.com-ийн бичсэн шинэчилсэн нийтлэл дээр гаргасан санаа дээр тулгуурласан юм. Энэ хэсэг нь jail(8) боломжийг ашиглан аюулгүй байдлын нэмэлт давхарга бүхий FreeBSD систем хэрхэн тохируулах талаар тайлбарлах болно. Өгөгдсөн систем нь ядаж RELENG_6_0 бөгөөд энэ бүлгийн өмнө дурдсан мэдээллийг уншигч авхай сайн ойлгосон гэж тооцдог.

16.6.1.1. Шийдэл

Шоронгуудын гол асуудлуудын нэг нь тэдгээрийн шинэчлэлтийн процессийн удирдлага юм. Шорон бүр нь шинэчлэгдэх болгондоо дахин бүр эхнээсээ бүтээгдэх хэрэгтэй болдог учраас тэр юм. Нэг шоронгийн хувьд энэ нь ихэвчлэн асуудал болдоггүй, шинэчлэлтийн процесс их хялбар байдаг боловч олон шоронгууд үүсгэсэн бол их хугацаа шаардсан, төвөгтэй ажиллагаа байдаг.

Энэхүү тохиргоо нь FreeBSD-ийн маш сайн туршлага болон түүний боломжуудын хэрэглээг шаарддаг. Хэрэв доор үзүүлсэн алхмууд нь хэтэрхий төвөгтэй санагдвал FreeBSD шоронгуудыг удирдах илүү хялбар боломжийг олгодог бөгөөд энэ тохиргооных шиг төвөгтэй биш sysutils/qjail эсвэл sysutils/ezjail зэрэг хялбар системийг үзэхийг зөвлөж байна.

Гол санаа нь иймэрхүү асуудлуудыг шоронгууд хооронд аль болох ихээр аюулгүй аргаар хуваалцах замаар шийдэх явдал юм - шинэчлэлт хялбар байхаар зөвхөн уншигдах mount_nullfs(8) холболтуудыг ашиглах болон ганц үйлчилгээнүүдийг тусдаа шоронд хийх нь илүүтэй болох юм. Мөн энэ нь шоронгуудыг нэмэх эсвэл устгах болон тэдгээрийг шинэчлэх хялбар боломжийг олгодог юм.

Ийм зорилгоор ашиглаж болох үйлчилгээнүүдийг дурдвал: HTTP сервер, DNS сервер, SMTP сервер гэх мэт байж болох юм.

Энэ хэсэгт тайлбарласан тохиргооны зорилгуудыг дурдвал:

  • Шоронгийн хялбар, ойлгоход амархан бүтцийг үүсгэх. Энэ нь шорон бүрийн хувьд болон тэдгээр дээр бүрэн хэмжээний installworld үйлдлийг ажиллуулахгүй байх гэсэн үг юм.

  • Шинэ шоронгууд нэмэх эсвэл байгааг нь устгах процессийг хялбар болгох.

  • Байгаа шоронгуудыг шинэчлэх эсвэл сайжруулах процессийг хялбар болгох.

  • Өөрчлөн тохируулсан FreeBSD салбарыг ажиллуулах боломжтой болгох.

  • Нэвтрэн орох, эвдлэн орох боломжийг аль болох ихээр багасгаж аюулгүй байдлын хувьд паранойд байх.

  • Зай болон inode-уудыг аль болох ихээр хэмнэх.

Урьд нь дурдагдсаны адил энэ шийдэл нь шорон бүрт зөвхөн уншигдахаар (nullfs гэгддэг) холбогдох ганц мастер загвар болон шорон бүрийн хувьд нэг уншигдах, бичигдэх төхөөрөмжтэй байх бүтэц дээр үндсэндээ тулгуурласан юм. Төхөөрөмж нь тусдаа физик диск, хуваалт, эсвэл vnode дээр тулгуурласан md(4) төхөөрөмж байж болох юм. Энэ жишээн дээр бид уншигдах, бичигдэх nullfs холболтуудыг ашиглах болно.

Файлын системийн дүр зураг доор дурдсан хэсэгт тайлбарласан буй:

  • Шорон бүр /home/j сангийн доор холбогдох болно.

  • /home/j/mroot нь шорон бүрийн хувьд загвар ба бүх шоронгуудын хувьд зөвхөн уншигдах хуваалт юм.

  • /home/j сангийн доор шорон бүрийн хувьд хоосон сан үүсгэгдэнэ.

  • Шорон бүр системийн уншигдах, бичигдэх хэсэг уруу холбогдох /s сантай байна.

  • Шорон бүр /home/j/skel дээр тулгуурласан өөрийн уншигдах, бичигдэх системтэй байх болно.

  • Шоронгийн талбар бүр (шорон бүрийн уншигдах, бичигдэх хэсэг) /home/js-д үүсгэгдэх болно.

Энэ нь шоронгууд /home хуваалтын доор үндэслэсэн гэж үзнэ. Үүнийг мэдээж өөрчилж болох боловч ингэх тохиолдолд доор дурдсан жишээ бүрийн хувьд өөрчлөгдөх ёстой болно.

16.6.1.2. Загвар үүсгэх нь

Энэ хэсэг нь шоронд зориулагдан ашиглагдах, зөвхөн уншигдах хэсэг болох мастер загварыг үүсгэхэд хэрэгтэй алхмуудыг тайлбарлах болно.

FreeBSD системийг сүүлийн -RELEASE салбар уруу шинэчлэх нь үргэлж зөв санаа байдаг. Үүнийг хийхийн тулд гарын авлагын бүлгээс лавлах хэрэгтэй. Шинэчлэл хийх шаардлагагүй бол гүйцэтгэлийг гүйцээхийн тулд buildworld хийх шаардлагатай. Мөн sysutils/cpdup багц хэрэгтэй. FreeBSD-ийн портын цуглуулгыг татаж авахдаа бид portsnap(8) хэрэгслийг ашиглах болно. Эхлэн суралцагчид гарын авлагын Portsnap бүлгийг унших нь зүйтэй юм.

  1. Эхлээд бидний шоронгуудад зориулсан FreeBSD-ийн хоёртын файлуудыг агуулах зөвхөн уншигдах файлын системийн сангийн бүтцийг үүсгэх хэрэгтэй бөгөөд дараа нь FreeBSD-ийн эх модны сан уруу сангаа сольж ороод зөвхөн уншигдах файлын системийг шоронгийн загвар уруу суулгах хэрэгтэй:

    # mkdir /home/j /home/j/mroot
    # cd /usr/src
    # make installworld DESTDIR=/home/j/mroot
  2. Дараа нь шоронгуудад зориулж FreeBSD-ийн портын цуглуулга болон mergemaster-т шаардлагатай, FreeBSD-ийн эх модыг бэлдэх хэрэгтэй:

    # cd /home/j/mroot
    # mkdir usr/ports
    # portsnap -p /home/j/mroot/usr/ports fetch extract
    # cpdup /usr/src /home/j/mroot/usr/src
  3. Системийн уншигдах, бичигдэх хэсэгт зориулж араг ясыг үүсгэх хэрэгтэй:

    # mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles
    # mv etc /home/j/skel
    # mv usr/local /home/j/skel/usr-local
    # mv tmp /home/j/skel
    # mv var /home/j/skel
    # mv root /home/j/skel
  4. Байхгүй байгаа тохиргооны файлуудыг суулгахын тулд mergemaster-г ашиглах хэрэгтэй. Дараа нь mergemaster-ийн үүсгэсэн илүү сангуудыг арилгах хэрэгтэй:

    # mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i
    # cd /home/j/skel
    # rm -R bin boot lib libexec mnt proc rescue sbin sys usr dev
  5. Одоо уншигдах, бичигдэх файлын системийг зөвхөн уншигдах файлын систем уруу заасан симболын холбоос үүсгэх хэрэгтэй. Симболын холбоосууд нь зөв s/ байрлалуудад үүсгэгдсэн эсэхийг шалгаарай. Жинхэнэ сангууд юм уу эсвэл сангуудын үүсгэлт буруу байрлалуудад хийгдсэн бол суулгалт амжилтгүй болоход хүргэнэ.

    # cd /home/j/mroot
    # mkdir s
    # ln -s s/etc etc
    # ln -s s/home home
    # ln -s s/root root
    # ln -s ../s/usr-local usr/local
    # ln -s ../s/usr-X11R6 usr/X11R6
    # ln -s ../../s/distfiles usr/ports/distfiles
    # ln -s s/tmp tmp
    # ln -s s/var var
  6. Сүүлийн шатанд доор дурдсан агуулга бүхий ерөнхий /home/j/skel/etc/make.conf файлыг үүсгэх хэрэгтэй:

    WRKDIRPREFIX?=  /s/portbuild

    WRKDIRPREFIX-г ийм байдлаар тохируулах нь шорон бүрт FreeBSD-ийн портуудыг эмхэтгэх боломжтой болгох юм. Портуудын сан нь зөвхөн уншигдах системийн хэсэг гэдгийг санаарай. WRKDIRPREFIX-д зориулсан өөр зам нь шорон бүрийн уншигдах, бичигдэх хэсэгт бүтээлтүүдийг хийх боломжийг олгох юм.

16.6.1.3. Шорон үүсгэх нь

Одоо бид бүрэн гүйцэд FreeBSD-ийн шоронгийн загвартай болсон болохоор /etc/rc.conf файлд бид шоронгуудыг суулган тохируулах боломжтой болно. Энэ жишээ нь "NS", "MAIL" болон "WWW" гэсэн 3 шоронгийн үүсгэлтийг харуулж байна.

  1. Доор дурдсан мөрүүдийг /etc/fstab файлд нэмэх хэрэгтэй. Ингэснээр шоронгуудад зориулсан зөвхөн уншигдах загвар болон уншигдах, бичигдэх зай тохирох шоронгуудад ашиглах боломжтой болох юм:

    /home/j/mroot   /home/j/ns     nullfs  ro  0   0
    /home/j/mroot   /home/j/mail   nullfs  ro  0   0
    /home/j/mroot   /home/j/www    nullfs  ro  0   0
    /home/js/ns     /home/j/ns/s   nullfs  rw  0   0
    /home/js/mail   /home/j/mail/s nullfs  rw  0   0
    /home/js/www    /home/j/www/s  nullfs  rw  0   0

    0 pass буюу өнгөрөх дугаараар тэмдэглэгдсэн хуваалтууд нь ачаалах үед fsck(8) хэрэгслээр шалгагддаггүй бөгөөд 0 dump дугаараар тэмдэглэгдсэн хуваалтууд нь dump(8) хэрэгслээр нөөцлөгддөггүй. Бид fsck хэрэгслээр nullfs холболтуудыг шалгах эсвэл dump хэрэгслээр шоронгуудын зөвхөн уншигдах nullfs холболтуудыг нөөцлөхийг хүсэхгүй байгаа билээ. Дээр дурдсан fstab оруулга бүрийн сүүлийн хоёр багана "0 0" гэж тэмдэглэгдсэн учир нь энэ юм.

  2. Шоронгуудыг /etc/rc.conf-д тохируулах хэрэгтэй:

    jail_enable="YES"
    jail_set_hostname_allow="NO"
    jail_list="ns mail www"
    jail_ns_hostname="ns.example.org"
    jail_ns_ip="192.168.3.17"
    jail_ns_rootdir="/usr/home/j/ns"
    jail_ns_devfs_enable="YES"
    jail_mail_hostname="mail.example.org"
    jail_mail_ip="192.168.3.18"
    jail_mail_rootdir="/usr/home/j/mail"
    jail_mail_devfs_enable="YES"
    jail_www_hostname="www.example.org"
    jail_www_ip="62.123.43.14"
    jail_www_rootdir="/usr/home/j/www"
    jail_www_devfs_enable="YES"

    jailnamerootdir хувьсагчийн утга /home-ийн оронд /usr/home гэсэн шалтгаан нь FreeBSD-ийн үндсэн суулгац дээр /home сангийн физик зам нь /usr/home гэж байдагт оршиж байгаа юм. jailnamerootdir хувьсагчийн утга симбол холбоос бүхий зам байхаар тохируулагдсан байх ёсгүй бөгөөд хэрэв ингэвэл шоронгууд ажиллаж эхлэхгүй байх болно. Энэ хувьсагчийн утгад тавьж болох утгыг олохдоо realpath(1)-г ашиглах хэрэгтэй. Дэлгэрэнгүй мэдээллийг FreeBSD-SA-07:01.jail Аюулгүй байдлын Зөвлөгөөнөөс үзнэ үү.

  3. Шорон бүрийн зөвхөн уншигдах файлын системд зориулсан, шаардлагатай холбох цэгүүдийг үүсгэнэ:

    # mkdir /home/j/ns /home/j/mail /home/j/www
  4. Шорон бүрт уншигдах, бичигдэх загварыг суулгах хэрэгтэй. sysutils/cpdup хэрэгслийн хэрэглээг энд тэмдэглэх нь зүйтэй юм. Энэ нь сан бүрийн зөв хуулбарыг хийхэд тусалдаг:

    # mkdir /home/js
    # cpdup /home/j/skel /home/js/ns
    # cpdup /home/j/skel /home/js/mail
    # cpdup /home/j/skel /home/js/www
  5. Энэ үед шоронгууд нь бүтээгдэж ажиллахад бэлтгэгдсэн байна. Эхлээд шорон бүрийн хувьд шаардлагатай файлын системийг холбож дараа нь тэдгээрийг jail rc скрипт ашиглан эхлүүлэх хэрэгтэй:

    # mount -a
    # service jail start

Шоронгууд нь одоо ажиллаж байх ёстой. Тэдгээрийг зөв эхэлсэн эсэхийг шалгахын тулд jls(8) тушаалыг ашиглана. Үүний гаралт доор дурдсантай төстэй байх ёстой:

# jls
   JID  IP Address      Hostname                      Path
     3  192.168.3.17    ns.example.org                /home/j/ns
     2  192.168.3.18    mail.example.org              /home/j/mail
     1  62.123.43.14    www.example.org               /home/j/www

Энэ үед шорон бүр рүү нэвтэрч, шинэ хэрэглэгчид нэмэх эсвэл дэмонуудыг тохируулах боломжтой болсон байх ёстой. JID багана нь ажиллаж байгаа шорон бүрийн шорон таниулах дугаарыг илэрхийлдэг. JID нь 3 бүхий шорон дотор удирдлагын ажлуудыг гүйцэтгэхийн тулд дараах тушаалыг ашиглах хэрэгтэй:

# jexec 3 tcsh

16.6.1.4. Шинэчлэх нь

Аюулгүй байдлын асуудлаас болоод эсвэл одоо байгаа шоронгуудад ашигтай шинэ боломжууд хийгдсэнээс болоод системээ FreeBSD-ийн шинэ хувилбар уруу шинэчлэх шаардлага заримдаа гардаг. Энэ тохиргооны дизайн нь байгаа шоронгуудыг хялбар аргаар шинэчлэх боломжийг олгодог. Мөн шоронгуудыг сүүлийн минутанд зогсоодог болохоор энэ нь тэдгээрийн зогсох хугацааг багасгадаг. Бас ямар нэг асуудал гарахад энэ нь хуучин хувилбар уруугаа шилжих боломжийг олгодог.

  1. Эхний алхам нь хост системийг журмын дагуу шинэчлэх явдал юм. Дараа шинэ, түр зуурын, зөвхөн уншигдах загварыг /home/j/mroot2-д үүсгэх хэрэгтэй.

    # mkdir /home/j/mroot2
    # cd /usr/src
    # make installworld DESTDIR=/home/j/mroot2
    # cd /home/j/mroot2
    # cpdup /usr/src usr/src
    # mkdir s

    installworld ажиллахдаа цөөн хэрэггүй сангуудыг үүсгэдэг бөгөөд эдгээрийг устгах хэрэгтэй:

    # chflags -R 0 var
    # rm -R etc var root usr/local tmp
  2. Мастер файлын системд зориулж уншигдах, бичигдэх симболын холбоосуудыг дахин үүсгэх хэрэгтэй:

    # ln -s s/etc etc
    # ln -s s/root root
    # ln -s s/home home
    # ln -s ../s/usr-local usr/local
    # ln -s ../s/usr-X11R6 usr/X11R6
    # ln -s s/tmp tmp
    # ln -s s/var var
  3. Шоронгуудыг зогсоох зөв үе нь одоо байна:

    # service jail stop
  4. Эх файлын системүүдийг салгах хэрэгтэй:

    # umount /home/j/ns/s
    # umount /home/j/ns
    # umount /home/j/mail/s
    # umount /home/j/mail
    # umount /home/j/www/s
    # umount /home/j/www

    Уншигдах, бичигдэх системүүд нь зөвхөн уншигдах системд залгагдсан (/s) бөгөөд эхлээд салгагдах ёстой.

  5. Хуучин зөвхөн уншигдах файлын системийг шилжүүлж шинээр сольно. Ямар нэг юм болохоо байхад энэ нь хуучин, зөвхөн уншигдах файлын системийн нөөц болон архив маягаар ашиглагдах юм. Энд ашиглагдсан нэрлэх аргачлал нь шинэ, зөвхөн уншигдах файлын систем үүсгэгдэх үеийнхтэй тохирдог. Зай болон inode-уудыг хэмнэхийн тулд FreeBSD-ийн эх портын цуглуулгыг шинэ файлын систем уруу шилжүүлэх хэрэгтэй:

    # cd /home/j
    # mv mroot mroot.20060601
    # mv mroot2 mroot
    # mv mroot.20060601/usr/ports mroot/usr
  6. Энэ үед шинэ, зөвхөн уншигдах загвар бэлэн болох бөгөөд үлдсэн цорын ганц ажил нь файлын системүүдийг дахин холбож шоронгуудыг эхлүүлэх явдал юм:

    # mount -a
    # service jail start

Шоронгууд зөв эхэлсэн эсэхийг шалгахын тулд jls(8)-г ашиглана. Шорон бүрт mergemaster-г ажиллуулахаа мартуузай. Тохиргооны файлууд болон rc.d скриптүүдийг шинэчлэх хэрэгтэй болно.


Last modified on: 2021 оны арван хоёрдугаар сарын 11 by Sergio Carlavilla Delgado