From owner-p4-projects@FreeBSD.ORG Sat Mar 29 18:13:00 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 0426C1065674; Sat, 29 Mar 2008 18:13:00 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 9B3F5106566B for ; Sat, 29 Mar 2008 18:12:59 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 88A278FC16 for ; Sat, 29 Mar 2008 18:12:59 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m2TICxeO070544 for ; Sat, 29 Mar 2008 18:12:59 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m2TICxIa070542 for perforce@freebsd.org; Sat, 29 Mar 2008 18:12:59 GMT (envelope-from pgj@FreeBSD.org) Date: Sat, 29 Mar 2008 18:12:59 GMT Message-Id: <200803291812.m2TICxIa070542@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 138921 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 29 Mar 2008 18:13:00 -0000 http://perforce.freebsd.org/chv.cgi?CH=138921 Change 138921 by pgj@disznohal on 2008/03/29 18:12:04 Fix typos, refactor translation of "jail", remove slang :) Submitted by: gabor (mentor) Affected files ... .. //depot/projects/docproj_hu/books/handbook/jails/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/jails/chapter.sgml#6 (text+ko) ==== @@ -19,18 +19,17 @@ - Elzárás + A jail alrendszer - elzárás + jail Áttekintés - Ez a fejezet a &os;-ben található - elzárási mechanizmust, valamint annak - használatát mutatja be közelebbrõl. Az - elzárás (jail), melyet gyakran csak úgy - emlegetik, mint a chroot környezetek + Ez a fejezet a &os;-ben található jail + alrendszert, valamint annak használatát mutatja be + közelebbrõl. Az jail, melyet gyakran csak úgy + emlegetnek, mint a chroot környezetek továbbfejlesztését, a rendszergazdák számára ajánlott, nagyon sokoldalú eszköz, de a haladó felhasználók is @@ -41,63 +40,62 @@ - Mi az elzárás, milyen célra - használható a &os;-ben. + mi is az a jail, milyen célra + használható a &os;-ben - Hogyan fordítsuk, indítsuk el és - állítsuk le az elzárást. + hogyan hozzunk létre, indítsunk el és + állítsunk le jaileket - A létrehozott elzárások - karbantartásainak alapjait, az elzárásokon - belülrõl és kívülrõl - egyaránt. + a létrehozott jailek karbantartásainak + alapjait, a jailek belülrõl és + kívülrõl egyaránt - Az elzárásról még több - hasznos információt a következõ - helyekrõl tudhatunk meg: + A jail alrendszerrõl még több hasznos + információt a következõ helyekrõl + tudhatunk meg: - A &man.jail.8; man oldal. Ez tartalmazza a + a &man.jail.8; man oldal. Ez tartalmazza a jail segédprogram teljes referenciáját — ez az a karbantartásra használható eszköz, amellyel el tudjuk indítani, le tudjuk - állítani és vezérelni tudjuk az - elzárásokat a &os;-ben. + állítani és vezérelni tudjuk a + jaileket a &os;-ben - A levelezési listák és azok - archívumai. A &a.questions; archívuma és a - &a.mailman.lists;en található többi - levelezési lista halomnyi olvasnivalót tartogat - az elzárásokkal kapcsolatban. Mindig - érdemes keresni ezekben az archívumokban, vagy - beküldeni a kérdésünket a - &a.questions.name; levelezési listára. + a levelezési listák és azok + archívumai. A &a.questions; archívuma és + a &a.mailman.lists;en található többi + levelezési lista rengeteg olvasnivalót tartogat + a jailekkel kapcsolatban. Mindig érdemes keresni + ezekben az archívumokban, vagy beküldeni a + kérdésünket a &a.questions.name; + levelezési listára - Az elzáráshoz kapcsolódó + <title>A jail alrendszerhez kapcsolódó fogalmak - A &os;-ben található elzáráshoz + A &os;-ben található jail alrendszerhez tartozó részek és azok belsõ mûködésének, valamint a rendszer - többi részéhez történõ - kapcsolatának minél jobb megértése - érdekében az alábbi fogalmakat fogjuk - innentõl használni a fejezetben: + többi részével történõ + együttmûködésének minél jobb + megértése érdekében az alábbi + fogalmakat használjuk a fejezetben: @@ -131,7 +129,7 @@ Az a rendszerkarbantartó segédprogram, amely lehetõvé teszi program - elindítását egy elzárt + elindítását elzárt környezetben. @@ -162,9 +160,8 @@ stb.) Olyan program, felhasználó vagy más - egyéb egyed, amely csak egy elzáráson - keresztül, korlátozottan tud - hozzáférni az + egyéb egyed, amely csak egy jailen keresztül, + korlátozottan tud hozzáférni az erõforrásokhoz. @@ -182,32 +179,32 @@ telepítését, beállítását és karbantartását igyekeznek valamilyen módon - jobbítani. A rendszergazdák egyik feladata, hogy a - gondoskodjanak a biztonságról, miközben a - rendszer képes legyen ellátni az eredeti + jobbá tenni. A rendszergazdák egyik feladata + úgy gondoskodni a biztonságról, hogy + közben a rendszer képes legyen ellátni eredeti feladatát. A &os; rendszerek biztonságosságának - növelését hivatott egyik ilyen eszköz az - elzárás (jails). - Elõször a &os; 4.X verziójában - bukkant fel, de jelentõs fejlõdésen ment - keresztül a &os; 5.X verziókban, aminek - köszönhetõen sokkal erõteljesebb és - rugalmasabb alrendszerré vált. A fejlesztése - természetesen most is folytatódik tovább, - állandóan fejlõdik a - használhatósága, teljesítménye, - megbízhatósága és - biztonságossága. + növelését hivatott egyik ilyen eszköz a + jails. Elõször a &os; 4.X + verziójában bukkant fel, de jelentõs + fejlõdésen ment keresztül a &os; 5.X + verziókban, aminek köszönhetõen sokkal + erõteljesebb és rugalmasabb alrendszerré + vált. A fejlesztése természetesen most is + folytatódik tovább, állandóan + fejlõdik a használhatósága, + teljesítménye, megbízhatósága + és biztonságossága. - Mi is egy elzárás + Mi is az a jail? A BSD-szerû operációs rendszerekben már a 4.2BSD óta megtalálható volt a - &man.chroot.2;. A &man.chroot.8; segédprogrammal tudjuk - megváltoztatni adott programok számára a + &man.chroot.2;. A &man.chroot.8; segédprogrammal meg + tudjuk megváltoztatni adott programok + számára a gyökérkönyvtárat, és ezzel egy biztonságos környezetet teremteni, távol a rendszer többi részétõl. A chroot-tal @@ -236,24 +233,24 @@ alrendszert kellett kiépíteni. Ez az egyik oka annak, amiért az - elzárást + jaileket kifejlesztették. - Az elzárás ötlete több - szempontból is a hagyományos &man.chroot.2; - környezet elvén alapszik. Egy hagyományos - &man.chroot.2; környezetben futó programok - korlátozása csupán abban merül ki, - hogy az állományrendszer melyik + A jailek által képviselt elzárás + ötlete több szempontból is a hagyományos + &man.chroot.2; környezet elvén alapszik. Egy + hagyományos &man.chroot.2; környezetben futó + programok korlátozása csupán abban + merül ki, hogy az állományrendszer melyik részét láthatják. A rendszer többi erõforrása (mint mondjuk a felhasználók, futó programok vagy a hálózati alrendszer) azonban továbbra is megosztva marad a chroot környezetben és a befogadó rendszerben futó programok - között. Az elzárás kibõvíti - ezt a modellt, és nem csak az - állományrendszerre vonatkozó + között. A jailek által alkalmazott + megoldás kibõvíti ezt a modellt, és + nem csak az állományrendszerre vonatkozó hozzáférést virtualizálja, hanem több más dolog mellett kiterjeszti ezt a felhasználókra és a &os; @@ -264,43 +261,41 @@ bõvebben a ban esik szó. - Az elzárásokat az alább négy - elem írja le: + A jaileket az alább négy elem írja + le: A könyvtárszerkezet egy részfája — attól a - résztõl indulva, ahonnan az elzárás - kezdõdik. Az elzáráson belül - futó programok nem léphetnek ki ebbõl a + résztõl indulva, ahonnan a jail kezdõdik. + A jailen belül futó programok nem + léphetnek ki ebbõl a részfából. Az eredeti &man.chroot.2; kialakításában merengõ biztonsági hibák lehetõségei nem - veszélyeztetik a &os; - elzárásait. + veszélyeztetik a többi &os; jailt. - A rendszer neve — a név, amelyet az - elzáráson belül használunk. Mivel - az elzárásokat elsõsorban - hálózati szolgáltatások - kordában tartására használjuk, - az elzárásokhoz tartozó beszédes - rendszernevek sokat tudnak segíteni a - rendszergazdák munkájában. + A rendszer neve — a név, amelyet a jailen + belül használunk. Mivel a jaileket + elsõsorban hálózati + szolgáltatások kordában + tartására használjuk, a jailekhez + tartozó beszédes rendszernevek sokat tudnak + segíteni a rendszergazdák + munkájában. - Egy IP-cím — ez fog - tartozni az elzáráshoz és nem is - változtatható meg a mûködése - során. Egy elzárás IP-címe - általában egy már létezõ - hálózati csatoló másik - címe, de ez nem szükségszerûen igaz - minden esetben. + Egy IP-cím — a jailhez + tartozik és nem változtatható meg a + mûködése során. Egy jail + IP-címe általában egy már + létezõ hálózati csatoló + másik címe, de ez nem + szükségszerûen igaz minden esetben. @@ -314,9 +309,9 @@ - Ezektõl eltekintve az elzárások - rendelkezhetnek saját felhasználókkal - és lehetnek saját root + Ezektõl eltekintve a jailek rendelkezhetnek + saját felhasználókkal és lehetnek + saját root felhasználóik is. Természetesen a root hatásköre csak az elzárt környezetre korlátozódik, @@ -332,53 +327,54 @@ korlátozásairól lentiekben bõvebben is említést teszünk a ban. + - Az elzárások létrehozása - és vezérlése + A jailek létrehozása és + vezérlése - Egyes rendszergazdák az elzárásokat a - következõ két típusba sorolják: - teljes elzárás, mely egy - valódi &os; rendszerre emlékeztet, és a - szolgáltatás elzárás, - mely egyetlen, feltehetõen kiemelt jogokkal futó + Egyes rendszergazdák a jaileket a következõ + két típusba sorolják: teljes + jail, mely egy valódi &os; rendszerre emlékeztet, + és a szolgáltatás jail, mely + egyetlen, feltehetõen kiemelt jogokkal futó alkalmazás vagy szolgáltatás számára van elõkészítve. Ez a - besorolás csupán fogalmi szintû, az - elzárás felépítésének - módját nem befolyásolja. A &man.jail.8; man - oldal vegytisztán ismerteti az elzárások - létrehozását: + besorolás csupán fogalmi szintû, a jail + felépítésének módját nem + befolyásolja. A &man.jail.8; man oldal részletesen + ismerteti a jailek létrehozását: - &prompt.root; setenv D /itt/lesz/az/elzárás + &prompt.root; setenv D /itt/lesz/a/jail &prompt.root; mkdir -p $D &prompt.root; cd /usr/src &prompt.root; make world DESTDIR=$D -&prompt.root; cd etc/ Ez a -lépés nem szükséges a &os; 6.0-ás vagy annál újabb verziójában. +&prompt.root; cd etc/ + + Ez a lépés nem szükséges a &os; + 6.0-ás vagy annál újabb + verziójában. + &prompt.root; make distribution DESTDIR=$D &prompt.root; mount -t devfs devfs $D/dev - Érdemes elõször az elzárás - helyét megválasztani. Itt fog fizikailag helyet - foglalni a befogadó rendszer - állományrendszerén belül az - elzárás. Jó választás - lehet erre a /usr/jail/elzárás, - ahol a elzárás az - elzárást azonosító - rendszernév. A Érdemes elõször a jail helyét + megválasztani. Itt fog fizikailag helyet foglalni a + befogadó rendszer + állományrendszerén belül a jail. + Jó választás lehet erre a /usr/jail/jailnév, + ahol a jailnév a jailt + azonosító rendszernév. A /usr/ állományrendszeren általában - elegendõ hely jut az elzárás + elegendõ hely jut a jail állományrendszerének, ami egy - teljes elzárás esetén + teljes jail esetén lényegében a &os; alaprendszer alapértelmezett telepítésében megtalálható összes állomány @@ -386,8 +382,8 @@ - Ez a parancs fogja felmásolni az - elzárás fizikai helyének választott + Ez a parancs fogja felmásolni a jail fizikai + helyének választott könyvtár-részfába a mûködéshez szükséges programokat, függvénykönyvtárakat, man oldalakat @@ -408,15 +404,15 @@ szólva, átmásolja az összes telepíhetõ állományt a /usr/src/etc/ - könyvtárból az elzárás - /etc + könyvtárból a jail /etc alkönyvtárába, vagyis a $D/etc/ könyvtárba. - Az elzáráson belül a &man.devfs.8; + A jaileken belül a &man.devfs.8; csatlakoztatása nem kötelezõ. Másrészt azonban majdnem mindegyik alkalmazás, a feladatától @@ -424,11 +420,10 @@ hozzá akar férni. Nagyon fontos, hogy a kezünkbe vegyük a eszközök hozzáférésének - irányítását az - elzáráson belül, mivel a helytelen - beállítások révén a - támadók csúnya dolgokat tudnak majd - mûvelni. A &man.devfs.8; + irányítását a jaileken belül, + mivel a helytelen beállítások + révén a támadók csúnya + dolgokat tudnak majd mûvelni. A &man.devfs.8; mûködését a &man.devfs.8; és &man.devfs.conf.5; man oldalakon is ismertetett szabályrendszerek @@ -436,16 +431,16 @@ - Ahogy az elzárást telepítettük, a - &man.jail.8; segédprogrammal tudjuk elindítani. A - &man.jail.8; négy kötelezõ paramétert - vár, melyekre a ban ki is + Ahogy a jailt telepítettük, a &man.jail.8; + segédprogrammal tudjuk elindítani. A &man.jail.8; + négy kötelezõ paramétert vár, + melyekre a ban ki is térünk. Más paraméterek is megadhatóak, pl. az elzárt program egy adott felhasználó jogaival történõ futtatásához. A - paraméter használata az elzárás + paraméter használata a jail típusától függ: egy virtuális rendszer esetében a /etc/rc jó választásnak @@ -456,43 +451,42 @@ szól, az adott szolgáltatástól vagy alkalmazástól függ. - A elzárásokat gyakran már a - rendszerindítás során elindítják, - amit a &os; rc mechanizmusa nagyban meg is + A jaileket gyakran már a rendszerindítás + során elindítják, amit a &os; + rc mechanizmusa nagyban meg is könnyít. A rendszer indítása során - aktiválandó elzárások - listáját vegyük hozzá a - &man.rc.conf.5; állományhoz: + aktiválandó jailek listáját + vegyük hozzá a &man.rc.conf.5; + állományhoz: jail_enable="YES" # Ide NO-t írjunk, ha ki akarjuk kapcsolni -jail_list="www" # Szóközzel elválasztva soroljuk fel az elzárásokat +jail_list="www" # Szóközzel elválasztva soroljuk fel a jaileket A jail_list-ben szereplõ - összes elzárás meg kell adnunk az õket + összes jailt meg kell adnunk az õket leíró &man.rc.conf.5;-beli beállításokat: - jail_www_rootdir="/usr/jail/www" # az elzárás gyökérkönyvtára -jail_www_hostname="www.example.org" # az elzárás neve -jail_www_ip="192.168.0.10" # az elzárás IP-címe -jail_www_devfs_enable="YES" # legyen-e devfs az elzáráson belül + jail_www_rootdir="/usr/jail/www" # a jail gyökérkönyvtára +jail_www_hostname="www.example.org" # a jail neve +jail_www_ip="192.168.0.10" # a jail IP-címe +jail_www_devfs_enable="YES" # legyen-e devfs a jailen belül jail_www_devfs_ruleset="www_ruleset" # az alkalmazott devfs szabályrendszer Az &man.rc.conf.5; állományban szereplõ - elzárások esetén a - /etc/rc szkript fut le, tehát - feltételezi, hogy az így megadott - elzárás egy teljes virtuális rendszer. A - szolgáltatások elzárásához - meg kell változtatnunk az elzárás - alapértelmezett parancsát is. Ezt a - jail_elzárás_exec_start + jailek esetén a /etc/rc szkript + fut le, tehát feltételezi, hogy az így + megadott jail egy teljes virtuális rendszer. A + szolgáltatások jailbe foglalásához + meg kell változtatnunk a jail alapértelmezett + parancsát is. Ezt a + jail_jailnév_exec_start opció megfelelõ beállításával tudjuk megtenni. @@ -506,7 +500,7 @@ Ha léteznek a megfelelõ bejegyzések az rc.conf állományban, az /etc/rc.d/jail szkript is - használható az elzárások kézzel + használható a jailek kézzel történõ elindítására vagy leállítására: @@ -517,63 +511,62 @@ pillanatban még nem érhetõ el szabályos módszer. Ez azért van, mert a szabályos rendszerleállítást elvégzõ - parancsok nem használhatóak az - elzáráson belül. Emiatt az - elzárásokat a legtisztábban úgy tudjuk - leállítani, ha kadjuk az alábbi parancsot - magában az elzárásban vagy pedig a - &man.jexec.8; segédprogrammal az elzáráson - kívülrõl: + parancsok nem használhatóak a jailen belül. + Emiatt a jaileket a legtisztábban úgy tudjuk + leállítani, ha kiadjuk az alábbi parancsot + magában a jailben vagy pedig a &man.jexec.8; + segédprogrammal a jailen kívülrõl: &prompt.root; sh /etc/rc.shutdown Errõl a témáról többet a &man.jail.8; man oldalon olvashatunk. + Finomhangolás és karbantartás - Számos opció állítható be - az elzárásoknál, és sokféle - módon vegyíthetjük a befogadó &os; - rendszerünket az elzárásokkal, ami által - magasabb szintû alkalmazásokat hozhatunk létre. - Ebben a részben bemutatunk: + Számos opció állítható be a + jaileknél, és sokféle módon + vegyíthetjük a befogadó &os; rendszerünket + a jailekkel, ami által magasabb szintû + alkalmazásokat hozhatunk létre. Ebben a + részben bemutatunk: Néhány olyan beállítást, amellyel finomhangolhatjuk a - telepített elzárások által + telepített jailek által megvalósított biztonsági megszorítások viselkedését. - Az elzárások kezelésére - alkalmas néhány olyan magasabb szintû + A jailek kezelésére alkalmas + néhány olyan magasabb szintû alkalmazást, amelyek elérhetõek a &os; Portgyûjteményén keresztül, és - általános elzárás alapú - megoldások kialakításához + általános jail alapú megoldások + kialakításához használhatóak. + A &os;-ben található finomhangoló eszközök - Az elzárások - beállításainak finomhangolását - túlnyomórészt &man.sysctl.8; - változókkal végezhetjük el. A - sysctl-en belül egy speciális + A jailek beállításainak + finomhangolását túlnyomórészt + &man.sysctl.8; változókkal végezhetjük + el. A sysctl-en belül egy speciális részfában találhatunk erre alkalmas beállításokat: ez a a &os; rendszermag opciói között megtalálható security.jail.*. Itt közüljük - az elzárásokra vonatkozó fontosabb sysctl + a jailekre vonatkozó fontosabb sysctl változók listáját, az alapértelmezett értékeikkel együtt. A nevek minden bizonnyal sokat elárulnak, de ha többet @@ -637,20 +630,18 @@ szintjének) értékét. A &os; alaprendszere tartalmazza a rendszerben aktív - elzárások információit - megjelenítõ és a hozzájuk - történõ csatlakozásra - használható segédeszközöket. A - &man.jls.8; és &man.jexec.8; parancsok részei az - alap &os; rendszernek, segítségükkel - elvégezhetõek az alábbi egyszerû - feladatokat: + jailek információit megjelenítõ + és a hozzájuk történõ + csatlakozásra használható + segédeszközöket. A &man.jls.8; és + &man.jexec.8; parancsok részei az alap &os; rendszernek, + segítségükkel elvégezhetõek az + alábbi egyszerû feladatokat: - Ki tudjuk íratni az aktív - elzárásokat és hozzájuk - tartozó azonosítókat + Ki tudjuk íratni az aktív jailek és + hozzájuk tartozó azonosítókat (JID-eket), IP-címeket, neveket és útvonalakat. @@ -658,42 +649,42 @@ A befogadó rendszerbõl hozzá tudunk - csatlakozni egy futó elzáráshoz, - és parancsokat tudunk futtatni az - elzáráson belül vagy karbantartási - feladatokat tudunk elvégezni magán az - elzáráson belül. Ez + csatlakozni egy futó jailhez, és parancsokat + tudunk futtatni a jailen belül vagy + karbantartási feladatokat tudunk elvégezni + magán a jailen belül. Ez különösen hasznosnak bizonyulhat, amikor a root felhasználó - szabályosan le akarja állítani az - elzárást. A &man.jexec.8; - segédprogrammal el tudunk indítani egy - parancsértelmezõt az elzáráson + szabályosan le akarja állítani a jailt. + A &man.jexec.8; segédprogrammal el tudunk + indítani egy parancsértelmezõt a jailen belül, amibõl aztán irányíthatjuk. Példa: &prompt.root; jexec 1 tcsh + Magasszintû karbantartó eszközök a &os; Portgyûjteményében - A sok külsõs karbantartó eszköz - közül az egyik legteljesebb és leghasznosabb a - sysutils/jailutils. Sok - kisebb alkalmazást tartalmaz, melyek kibõvítik - a &man.jail.8; - irányíthatóságát. Bõvebb - információkért kérjük, - látogassa meg a hozzátartozó honlapot. + A sok külsõ karbantartó eszköz + közül az egyik legteljesebb és leghasznosabb a + sysutils/jailutils. Sok + kisebb alkalmazást tartalmaz, melyek kibõvítik + a &man.jail.8; + irányíthatóságát. Bõvebb + információkért kérjük, + látogassa meg a hozzátartozó honlapot. + - Az elzárások alkalmazása + A jailek alkalmazása @@ -706,16 +697,16 @@ - Szolgáltatások elzárása + Szolgáltatások jailbe + foglalása - Ez a rész eredetileg &a.simon; - írásán, melyet megtalálhatunk a - címen, valamint Ken Tom (locals@gmail.com) - átdolgozott cikkén alapul. Itt - megismerhetjük, hogyan állítsunk a &os; - rendszerünk felé egy biztonsági - réteget a &man.jail.8; + Ez a rész eredetileg &a.simon; oldalon + található írásán, valamint + Ken Tom (locals@gmail.com) átdolgozott + cikkén alapul. Itt megismerhetjük, hogyan + állítsunk be a &os; rendszerünkben egy + biztonsági réteget a &man.jail.8; felhasználásával. Továbbá feltételezzük, hogy ez a rendszer legalább RELENG_6_0 verziójú és a fejezetben @@ -723,43 +714,40 @@ mértékben megértette. - A kialakítás + A kialakítás - Az elzárások egyik legnagyobb gondja a - frissítés folyamatának - lebonyolítása. Azért jelent ez egyre - inkább gondot, mert minden egyes elzárást + A jailek egyik legnagyobb gondja a frissítés + folyamatának lebonyolítása. Azért + jelent ez egyre inkább gondot, mert minden egyes jailt újra fel kell építenünk a frissítése során. Ez többnyire nem - okoz gondot egyetlen elzárás használata - során, mivel maga a frissítési folyamat + okoz gondot egyetlen jail használata során, + mivel maga a frissítési folyamat meglehetõsen egyszerû, azonban igen idõigényessé és fárasztóvá tud válni több - elzárás esetében. + jail esetében. - Ez a példa a &os; és - képességeinek haladó szintû - ismeretét követeli meg. Amennyiben az itt - bemutatott lépesek túlságosan is - bonyolultnak tûnnének, érdemes olyan - egyszerûbb rendszerek után nézni, mint - mondjuk a sysutils/ezjail, amely egy - egyszerûbb módszert kínál fel a - &os;-ben használt elzárások + Ez a példa a &os; képességeinek + haladó szintû ismeretét követeli + meg. Amennyiben az itt bemutatott lépesek + túlságosan is bonyolultnak + tûnnének, érdemes olyan egyszerûbb + rendszerek után nézni, mint mondjuk a + sysutils/ezjail, amely + egy egyszerûbb módszert kínál fel + a &os;-ben használt jailek karbantartására, és nem is annyira - szájbarágós, mint ez a - példa. + bonyolult, mint ez a példa. A bemutatandó példa célja, hogy feloldja az ilyen jellegû problémákat, - és ezért igyekszik az elzárások - között mindent megosztani, ami csak - lehetséges. Mindezt biztonságosan éri el - — írásvédett &man.mount.nullfs.8; + és ezért igyekszik a jailek között + mindent megosztani, ami csak lehetséges. Mindezt + biztonságosan éri el — + írásvédett &man.mount.nullfs.8; állományrendszer használatával, aminek köszönhetõen a frissítés maga egyszerûbbé, az egyes @@ -767,17 +755,18 @@ különzárása pedig vonzóbbá válik. Ráadásul egyúttal egy nagyon egyszerû módszert mutat - új elzárások - hozzáadására és a régi - törlésére ugyanúgy, mint a + az új jailek hozzáadására + és a régi törlésére + ugyanúgy, mint a frissítésükre. Például ilyen szolgáltatásokat kívánunk - szabályozni: egy HTTP szervert, egy - DNS szervert, egy SMTP - szervert és így tovább. + szabályozni: egy HTTP szervert, + egy DNS szervert, egy + SMTP szervert és így + tovább. Az itt szereplõ beállítás @@ -787,23 +776,21 @@ Készítsünk egy egyszerûen és könnyen átlátható - elzárási rendszert. Ebbõl tehát + jailkezelési rendszert. Ebbõl tehát következik, hogy ne kelljen lefuttatni a teljes rendszer telepítését minden egyes - elzárásra. + jailre. - Könnyítsük meg az új - elzárások hozzáadását - és a régiek + Könnyítsük meg az új jailek + hozzáadását és a régiek eltávolítását. Könnyítsük meg a már - létezõ elzárások - frissítését és - cseréjét. + létezõ jailek frissítését + és cseréjét. Tegyük lehetõvé saját &os; @@ -812,8 +799,8 @@ Legyünk különösen körültekintõek a biztonság - tekintetében, és igyekezzünk minél - jobban csökkenteni veszély + tekintetében, és igyekezzünk + minél jobban csökkenteni veszély kockázatát. @@ -828,10 +815,9 @@ építkezik egyetlen fõ sablonra, amely írásvédetten kerül csatlakoztatásra (nullfsen - keresztül) az egyes elzárásokban, valamint - elzárásonként egy-egy - írható-olvasható eszközre. Ez az - eszköz lehet egy külön fizikai lemez, egy + keresztül) az egyes jailekben, valamint jailenként + egy-egy írható-olvasható eszközre. + Ez az eszköz lehet egy külön fizikai lemez, egy partíció vagy egy vnode alapú &man.md.4; eszköz. Ebben a példában írható-olvasható @@ -843,37 +829,36 @@ - Minden elzárást a Minden jailt a /home/j könyvtárban csatlakoztatunk. A /home/j/mroot - lesz az összes elzárás sablonja - és mindegyikük számára + lesz az összes jail sablonja és + mindegyikük számára írásvédett. - Minden elzárásnak létrehozunk egy - üres alkönyvtárat a /home/j" + Minden jailnek létrehozunk egy üres + alkönyvtárat a /home/j könyvtárban. - Minden elzárásnak lesz egy Minden jailnek lesz egy /s alkönyvtára, amelyet a rendszer írható-olvasható részére irányítunk. - Minden elzárásnak lesz egy saját - írható-olvasható része, amely a - /home/j/skel + Minden jailnek lesz egy saját + írható-olvasható része, amely + a /home/j/skel könyvtáron alapszik. - Mindegyik elzárt terület (az - elzárások + Mindegyik elzárt terület (a jailek írható-olvasható része) a /home/js könyvtárban jön létre. @@ -881,14 +866,15 @@ - Ez a kiosztás feltételezi, hogy az - elzárásokat a /home partíción - hozzuk létre. Ez természetesen bármi - másra megváltoztatható, de akkor - figyelnünk kell erre minden egyes parancs - kiadása elõtt. + Ez a kiosztás feltételezi, hogy a jaileket + a /home + partíción hozzuk létre. Ez + természetesen bármi másra + megváltoztatható, de akkor figyelnünk + kell erre minden egyes parancs kiadása + elõtt. + @@ -896,9 +882,8 @@ Ez a rész leírja a fõ sablon létrehozásához szükséges - lépéseket. Ez az elzárások - számára írásvédett - lesz. + lépéseket. Ez a jailek számára + írásvédett lesz. Érdemes mindig frissíteni a &os; rendszerünket a legújabb -RELEASE ágra. @@ -923,10 +908,9 @@ az írásvédett állományrendszer könyvtárszerkezetét, amely majd - tartalmazni fogja az elzárások által - használt &os;-s programokat. Ezután - lépjünk be a &os; - forrásfájának + tartalmazni fogja a jailek által használt + &os;-s programokat. Ezután lépjünk be + a &os; forrásfájának könyvtárába és telepítsük fel az írásvédett @@ -936,10 +920,11 @@ &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot + Ezt követõen készítsük - elõ az elzárások számára a - &os; Portgyûjteményt és &os; + elõ a jailek számára a &os; + Portgyûjteményt és &os; forrásfát, melyek kellenek a mergemaster használatához: @@ -949,6 +934,7 @@ >>> TRUNCATED FOR MAIL (1000 lines) <<<