Laufendes Material (Webservices) in chroot / isolierter Umgebung

1672
Shiki

Zunächst las ich alle chroot-Fragen, die ich im Internet und bei Superuser finden konnte. Grundsätzlich gilt für alle eine 32-Bit-App, die auf einem 64-Bit-Host usw. ausgeführt wird.

Ich möchte ein isoliertes System in total chroot (von dort aus lighttpd, mysql, ssh usw.). (Aus Sicherheitsgründen muss ich den Entwickler vom Live-Gerät isolieren.) Also habe ich die Chroot-Umgebung installiert, alle nötigen Dinge installiert und chrootiert. Alles lief gut. Bearbeitet /etc/ssh/sshd_config, um Port 22222 anstelle von 22 zu verwenden service ssh start. Verwendet dann. Es sagt, dass der Dienst läuft, aber wenn ich dies versuche: ssh -p 22222 localhostIch bekomme "Verbindung abgelehnt". Das chrootierte System ist bisher sehr minimal, so dass es keine Firewall gibt, hosts.allow / deny oder irgendetwas.

JEDE Idee ist willkommen.

ps .: Die Chroot-Umgebung wird, wie bereits erwähnt, ein Entwicklungsbereich sein. Ich dachte, chroot ist der einfachste Weg, aber wenn Sie sagen, dass KVM besser ist oder etwas, kann ich es tun. Die Maschine kann problemlos sogar 10 VMs problemlos ausführen.

Verwendete Anleitungen:
http://www.gentoo.org/doc/de/handbook/handbook-x86.xml?part=1&chap=6
https://help.ubuntu.com/community/BasicChroot
http: //www.gentoo .org / proj / de / base / amd64 / howtos / index.xml? part = 1 & chap = 2
http://ubuntuforums.org/showthread.php?t=248724

1

1 Antwort auf die Frage

0
Gilles

Eine Entwicklungsumgebung in einer Chroot-Umgebung in der Live-Umgebung zu betreiben, ist eine schreckliche Idee. Es erfüllt nicht Ihre Anforderung, die Entwicklungsumgebung von der Live-Umgebung zu isolieren. Es genügt ein kleiner Fehler, den Live-Server-Prozess anstelle des Entwicklungsservers abzubrechen oder den Entwicklungsserver auf Port 22 oder 80 warten zu lassen.

Sie können eine Entwicklungsumgebung als Chroot auf einem Entwicklercomputer ausführen. Dies ist jedoch schwieriger als das Konfigurieren einer virtuellen Maschine. Der einzige Grund, warum ich keine VM verwenden kann, ist, wenn Ihre Hardware zu alt ist, um eine VM bequem zu betreiben, was Sie nicht für den Fall halten. Eine VM bietet Ihnen eine eigenständige Netzwerkumgebung (damit Sie Dienste an ihren realen Ports mit ihrer realen Firewall testen können), eine eigenständige Prozessumgebung (damit Sie wissen, wie viel Arbeitsspeicher Sie wirklich benötigen und wie viel CPU Sie wirklich benötigen) .

Wenn die Leistung es zulässt, würden im Idealfall sowohl die Live-Umgebung als auch die Entwicklungsumgebung in VMs mit derselben VM-Technologie ausgeführt. Dadurch wird die Bereitstellung so risikoarm wie möglich.

Die Live-Umgebung läuft den ganzen Tag und wir haben nicht wirklich die Möglichkeit, VM-Sachen darauf zu installieren. Soweit es uns möglich ist, würden wir gerne chroot verwenden ... könnten Sie bei dem Problem helfen? Bitte.. Shiki vor 13 Jahren 0
@Shiki: Die Einrichtung einer Chroot ist * schwieriger * und * riskanter als eine virtuelle Maschine. Wie Sie in Ihrer Frage sagen, sage ich "KVM ist besser" (es sei denn, ich teile keine Meinung zu KVM und zu einer anderen VM-Technologie). Wenn Sie Ihre Live-Umgebung in eine VM integrieren, ist dies nur ein Sahnehäubchen. Wichtig ist, die Entwicklungsumgebung in einen separaten Netzwerk- und Prozesskontext zu stellen, dh eine VM (oder natürlich eine andere physische Maschine). Ich weiß nicht, warum Ihr chrootiertes `sshd` nicht so funktioniert, wie Sie möchten. und das ist für mich schon ein Argument gegen eine chroot. Gilles vor 13 Jahren 0
Das Zeug soweit. Ich verwende VMWare, da XEN und KVM Änderungen an den Netzwerkeinstellungen erforderten, die ich eigentlich nicht will. Es ist ernsthaft. Ich werde versuchen, KVM oder etwas zu installieren, da VMWare das schlechteste ist, seit es frei geworden ist (das Serverprodukt ... das ist es). Shiki vor 13 Jahren 0
@Shiki: Ich habe mehrere unabhängige Meinungen gehört, dass VirtualBox einfacher zu verwenden ist als VMWare. Ich habe VirtualBox verwendet und das Einrichten eines einfachen Netzwerks (eine NAT-Schnittstelle und eine Host-Only-Schnittstelle) war unkompliziert. Ich habe keine Erfahrung mit KVM. Gilles vor 13 Jahren 0
Hmm .. VirtualBox .. keine schlechte Idee. Ich werde es ausprobieren. Vielen Dank! Shiki vor 13 Jahren 0

Verwandte Probleme