Wie jailkit nutzen?

marvinm · Beitrag von **marvinm** » 26.05.2011 22:56:26

Guten Abend,

ich habe nun seit knapp zwei Tagen einen Debian 6 dedicatet Server und möchte da ein paar eingeschlossene Benutzer erstellen, sprich das der User2 nur in /home/user2 unterwegs sein kann und sich sonst von da nicht entfernen kann. Bei der Suche bin ich dann auf ein sogenanntes Jailkit gestossen, denke ist das richtige komme jedoch nicht ganz damit zurecht.
Kann man mir da weiterhelfen? Sprich mir sagen wie ich das richtig installiere und wie ich das so konfiguriere das der User2 via SSH und sFTP auf den Root zugreiffen kann und da sein Zeugs abspielen lassen kann.

MFG Marvin

startx · Beitrag von **startx** » 27.05.2011 09:48:54

fuer sftp gibt es das scponly paket.

ssh ( also mit voller shell ) laesst sich nicht einfach in einem chroot einsperren, da solltest du eher sowas wie linux-vserver nehmen.

xdanx · Beitrag von **xdanx** » 27.05.2011 10:21:38

startx hat geschrieben: ssh ( also mit voller shell ) laesst sich nicht einfach in einem chroot einsperren, da solltest du eher sowas wie linux-vserver nehmen.

das ist (inzwischen) falsch. Hier eine Anleitung für Lenny: http://www.howtoforge.com/chrooted-ssh- ... bian-lenny

startx · Beitrag von **startx** » 27.05.2011 21:46:00

meine betonung lag auch auf "nicht einfach". ich finde den aufwand dass sicher durchzuziehen viel zu gross.

was spricht gegen linux-vserver?

xdanx · Beitrag von **xdanx** » 28.05.2011 11:51:02

startx hat geschrieben:meine betonung lag auch auf "nicht einfach". ich finde den aufwand dass sicher durchzuziehen viel zu gross.

was spricht gegen linux-vserver?

hmm, ok, ich denke aber, dass der Aufwand einen Container (linux-vserver, LXC, OpenVZ) einzurichten und vor allem zu warten nicht wesentlich kleiner ist.

ThorstenS · Beitrag von **ThorstenS** » 28.05.2011 13:11:26

xdanx hat geschrieben:hmm, ok, ich denke aber, dass der Aufwand einen Container (linux-vserver, LXC, OpenVZ) einzurichten und vor allem zu warten nicht wesentlich kleiner ist.

ein komplettes System aktuell zu halten finde ich wesentlich einfacher (da automatisierbar), als ein per jailkit eingerichtete Umgebung. Da mußt du nämlich selbst schauen welche Pakete Sicherheitsupdates erfahren haben und dann die Umgebung wieder erneut einrichten.
Ich bin ein Fan von KVM, aber LXC ist sicherlich mehr als nur einen Blick wert!

startx · Beitrag von **startx** » 28.05.2011 13:23:02

aber LXC ist sicherlich mehr als nur einen Blick wert!

ist das schon benutzbar? letztes mal als ich da drauf geschaut hab schien das noch sehr pre-alpha

ThorstenS · Beitrag von **ThorstenS** » 28.05.2011 14:50:32

ich habe in den letzten Wochen den ein oder anderen Artikel (Linux Magazin oder/und Linux Admin) gesehen.
Die Sache habe ich aber noch nicht selbst ausprobiert.

Saxman · Beitrag von **Saxman** » 28.05.2011 15:41:47

startx hat geschrieben:
aber LXC ist sicherlich mehr als nur einen Blick wert!
ist das schon benutzbar? letztes mal als ich da drauf geschaut hab schien das noch sehr pre-alpha

Ich spiele damit gerade ein wenig herum, als Ersatz für meine bisherigen chroots.

Die Bedienung ist grundsätzlich sehr einfach, zumindest wenn man sich an die vorgefertigten Scripte hält. Es gibt Scripte, die richten automatisch debian, fedora und ubuntu guests ein, daneben gibt es Scripte für sshd und busybox. Einen Container auf Basis des aktuellen Systems zu starten erfordert nur einen kurzen Befehl. Alle habe ich bisher nicht getestet, aber soweit so gut.

Wenn man allerdings von den Standardscripten abweicht wird es kniffelig. Ich bin gerade dabei einen i386 container unter einem amd64 debian zu erstellen. Das Problem hierbei ist, das die Informationen hierzu sehr spärlich und im Netz verstreut sind. Im Gegensatz zu einem normalen chroot, reicht es nicht aus, mit debootstrap ein System aufzusetzen und die notwendigen Mountpoints in das chroot durchzuschleifen. Bei LXC müssen noch Anpassungen innerhalb des Containers vorgenommen werden ansonsten lässt er sich gar nicht erst starten. Aber ich denke das kriege ich noch in den Griff.

Als bisherige Zusammenfassung würde ich sagen: Die Bedienung der Container scheint ganz OK, wenn sie denn erst mal eingerichtet sind.

startx · Beitrag von **startx** » 28.05.2011 16:57:39

Die Bedienung ist grundsätzlich sehr einfach

was mir an linux-vserver so gefaellt ist die einfache konfiguration, die einfach in /etc/vserver abgebildet ist. LXC schien mir da ziemlich verwirrt, aber meine infos sind halt schon aelter. ausserdem ist das konfigurieren des netzwerks/IPs mit linux-vserver super einfach, ich bin kein grosser freund von br0.

Saxman · Beitrag von **Saxman** » 28.05.2011 17:13:26

startx hat geschrieben: was mir an linux-vserver so gefaellt ist die einfache konfiguration, die einfach in /etc/vserver abgebildet ist. [...]

Bei lxc legst du deine Konfigurationsscripte zu dem jeweiligen Container ebenfalls unter /etc/lxc ab. Da kommt dann auch jeweils die fstab für den jeweiligen Container hin. Die Konfigurationsdateien, schauen aber auf den ersten Blick, zum Teil wirklich etwas abschreckend aus.

Zu linux-vserver kann ich da nichts sagen, das habe ich bisher noch nicht getestet.

Hier gibt es z.B eine nette Doku zum einrichten eines Debian Containers.

catdog2 · Beitrag von **catdog2** » 29.05.2011 01:51:31

Also die lxc manpage ist find ich eigentlich recht ausführlich.
Der wiki Artikel ist auch nicht schlecht: https://wiki.archlinux.org/index.php/Linux_Containers

debianforum.de

Wie jailkit nutzen?

Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?

Re: Wie jailkit nutzen?