[FUG-BR] Jail padrao / ez-jail e restricao de bind em IP do jail
Leonardo Augusto
lalinden em gmail.com
Quarta Setembro 5 11:18:20 BRT 2012
Bom dia,
Me deparei com um detalhe interessante com relacao ao jail e ao
ez-jail, e que nao estou conseguindo
replicar esse detalhe em ambos.
Eu usava muito o ezjail, pois era facil atualizar/manter o ports, se
voce nao tivesse que customizar nada especificamente
para uma jail.
Dentro de uma jail iniciada do ez-jail, se o apache é startado por
exemplo, ele automaticamente só fica com listen no respectivo
IP da jail, e nao em *. Se executo um sockstat -l no host da jail,
aparece o apache da jail com bind exatamente no ip da jail, sem
a necessidade de declarar o listen no httpd.conf
Porém, resolvi voltar para o jail padrao pois tenho casos onde quero
manter o port e libs independentes de outras jails, e ficar alterando
os configs la do ez-jail é um saco.
Entao quando inicio um jail via jail padrao(rc.conf), o mesmo apache
que no jail do ez-jail ficava "listeando" o ip da jail, nessa jail
padrao ele
fica com listen em tudo(* asterisco).
Me fiz entender ? Uma aplicacao que da listen em uma porta qualquer
(ssh, apache, etc), se subida via jail do rc.conf, da bind em todos os
ips do hots, ja os subidos via ez-jail, automaticamente ficam com
listen apenas no ip da jail.
Tem alguma configuracao magina na jail do rc.conf que nao estou
fazendo ? ou algum sysctl ? Seguem as configs do rc.conf.
#---------------- JAILS CONFIG --------------------------
jail_enable="yes"
jail_v2_enable="yes"
jail_set_hostname_allow="YES"
jail_socket_unixiproute_only="YES"
jail_sysvipc_allow="YES"
jail_list="mail dbslave dbdev wsdev"
#------------------------------
#jail_mail_fstab="/etc/jails/fstabs/mail"
jail_mail_name="mail"
jail_mail_rootdir="/data/virtual2/mail/" # Jail's root directory
jail_mail_hostname="mail.escolaonline.com.br" # Jail's hostname
jail_mail_ip="50.XX.114.YY,10.48.XX.18" # Jail's IP number
jail_mail_exec="/bin/sh /etc/rc" # command to execute in jail
jail_mail_mount_enable="YES"
jail_mail_devfs_enable="YES" # mount devfs in the jail
jail_mail_fdescfs_enable="YES" # mount fdescfs in the jail
jail_mail_procfs_enable="YES" # mount procfs in jail
jail_mail_fstab="" # fstab(5) for mount/umount
jail_mail_flags="-l -U root" # flags for jail(8)
E o sysctl relacionado ao jail.
# sysctl -a | grep jail
security.jail.param.allow.mount.zfs: 0
security.jail.param.allow.mount.procfs: 0
security.jail.param.allow.mount.nullfs: 0
security.jail.param.allow.mount.devfs: 0
security.jail.param.allow.mount.: 0
security.jail.param.allow.socket_af: 0
security.jail.param.allow.quotas: 0
security.jail.param.allow.chflags: 0
security.jail.param.allow.raw_sockets: 0
security.jail.param.allow.sysvipc: 0
security.jail.param.allow.set_hostname: 0
security.jail.param.ip6.saddrsel: 0
security.jail.param.ip6.: 0
security.jail.param.ip4.saddrsel: 0
security.jail.param.ip4.: 0
security.jail.param.cpuset.id: 0
security.jail.param.host.hostid: 0
security.jail.param.host.hostuuid: 64
security.jail.param.host.domainname: 256
security.jail.param.host.hostname: 256
security.jail.param.host.: 0
security.jail.param.children.max: 0
security.jail.param.children.cur: 0
security.jail.param.dying: 0
security.jail.param.vnet: 0
security.jail.param.persist: 0
security.jail.param.devfs_ruleset: 0
security.jail.param.enforce_statfs: 0
security.jail.param.securelevel: 0
security.jail.param.path: 1024
security.jail.param.name: 256
security.jail.param.parent: 0
security.jail.param.jid: 0
security.jail.devfs_ruleset: 0
security.jail.enforce_statfs: 2
security.jail.mount_zfs_allowed: 1
security.jail.mount_procfs_allowed: 1
security.jail.mount_nullfs_allowed: 1
security.jail.mount_devfs_allowed: 1
security.jail.mount_allowed: 1
security.jail.chflags_allowed: 1
security.jail.allow_raw_sockets: 1
security.jail.sysvipc_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.set_hostname_allowed: 1
security.jail.jail_max_af_ips: 255
security.jail.jailed: 0
Alguma ideia de por que o jail do rc.conf nao restringe o bing ao IP da jail ?
[]´s
Mais detalhes sobre a lista de discussão freebsd