From owner-p4-projects@FreeBSD.ORG Wed Jul 30 17:08:55 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 3A0D01065672; Wed, 30 Jul 2008 17:08:55 +0000 (UTC) Delivered-To: perforce@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id F1779106567E for ; Wed, 30 Jul 2008 17:08:54 +0000 (UTC) (envelope-from remko@freebsd.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id E59718FC1A for ; Wed, 30 Jul 2008 17:08:54 +0000 (UTC) (envelope-from remko@freebsd.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.2/8.14.2) with ESMTP id m6UH8sZZ096428 for ; Wed, 30 Jul 2008 17:08:54 GMT (envelope-from remko@freebsd.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.2/8.14.1/Submit) id m6UH8sYN096426 for perforce@freebsd.org; Wed, 30 Jul 2008 17:08:54 GMT (envelope-from remko@freebsd.org) Date: Wed, 30 Jul 2008 17:08:54 GMT Message-Id: <200807301708.m6UH8sYN096426@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to remko@freebsd.org using -f From: Remko Lodder To: Perforce Change Reviews Cc: Subject: PERFORCE change 146251 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 30 Jul 2008 17:08:55 -0000 http://perforce.freebsd.org/chv.cgi?CH=146251 Change 146251 by remko@remko_nakur on 2008/07/30 17:07:58 latest work in progress. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#6 (text+ko) ==== @@ -1,7 +1,7 @@ @@ -298,7 +298,7 @@ $D/etc. - + Het koppelen van het &man.devfs.8; bestands systeem is niet vereist in een jail. Aan de andere kant, vrijwel elke applicatie heeft toegang nodig tot minstens @@ -307,7 +307,7 @@ apparaten te controleren binnenin een jail, omdat incorrecte instellingen een aanvaller de mogelijkheid kunnen geven om vervelende dingen in de jail te doen. De controle over - &man.defvs.8; wordt gedaan door middel van rulesets, welke + &man.devfs.8; wordt gedaan door middel van rulesets, welke beschreven worden in de &man.devfs.8; en &man.devfs.conf.5; handleidingen. @@ -364,28 +364,123 @@ Voor een complete lijst van beschikbare opties, zie de &man.rc.conf.5; handleiding. - + + - Het /etc/rc.d/jail bestand kan worden - gebruikt om jails handmatig te starten en te stoppen, mits er - een overeenkomstige set regels bestaat in - /etc/rc.conf. + Het /etc/rc.d/jail bestand kan worden + gebruikt om jails handmatig te starten en te stoppen, mits er + een overeenkomstige set regels bestaat in + /etc/rc.conf. - &prompt.root; /etc/rc.d/jail start www + &prompt.root; /etc/rc.d/jail start www &prompt.root; /etc/rc.d/jail stop www + Er is op dit moment geen nette methode om een jail te + stoppen. Dit komt omdat de benodigde applicaties die een + nette afsluiting verzorgen, niet beschikbaar zijn in een + jail. De beste manier om een jail af te sluiten is door + het volgende commando van binnenin de jail uit te voeren + of door middel van het &man.jexec.8; commando: + + &prompt.root; sh /etc/rc.shutdown + + Meer informatie over dit alles kan gevonden worden in de + &man.jail.8; handleiding. - * Optimaliseren en administratie + Optimaliseren en administratie + + Er zijn meerdere opties beschikbaar die ingesteld kunnen + worden voor elke jail, en er zijn meerdere mogelijkheden om een + &os; host systeem te combineren met jails om een hoger nivo van + applicaties te verkrijgen. Deze sectie presenteert: + + + + Een aantal opties zijn beschikbaar voor het optimaliseren + van het gedrag en beveiligings beperkingen die geimplementeerd + worden in een jail. + - Wordt nog vertaald. + + Een aantal hoger nivo applicaties die gebruikt worden voor + het beheren van jails, welke beschikbaar zijn via de &os; Ports + Collectie en kunnen gebruikt worden om een complete + jail-gebaseerde oplossing te creeëren. + + - * Systeem applicaties voor het optimaliser van jails onder + <title>Systeem applicaties voor het optimaliseren van jails onder &os; - Wordt nog vertaald. + Het goed kunnen optimaliseren een jail configuratie wordt + veelal gedaan door het instellen van &man.sysctl.8; variabelen. + Er bestaat een speciale subtak van sysctl voor het organiseren + van alle relevante opties: de security.jail.* + hierarchie binnen de &os; kernel opties. Hieronder staat een + lijst van de belangrijkste jail-gerelateerde sysctl variabelen, + met informatie over de standaard waardes. De benaming zou + zelf beschrijvend moeten zijn, maar voor meer informatie + kunnen de &man.jail.8; en &man.sysctl.8; handleidingen + geraadpleegd worden. + + + + security.jail.set_hostname_allowed: + 1 + + + + security.jail.socket_unixiproute_only: + 1 + + + + security.jail.sysvipc_allowed: + 1 + + + + security.jail.enforce_statfs: + 2 + + + + security.jail.allow_raw_sockets: + 0 + + + + security.jail.chflags_allowed: + 0 + + + + security.jail.jailed: 0 + + + + Deze variabelen kunnen door de systeem beheerder gebruikt + worden op het host systeem om limitaties + toe te voegen of te verwijderen, welke standaard opgedwongen + worden aan de root gebruiker. Let op, + een aantal beperkingen kan niet worden aangepast. De + root gebruiker mag geen bestandssystemen + koppelen of ontkoppelen binnenin een &man.jail.8;. De + root gebruiker mag ook geen &man.devfs.8; + rulesets laden of ontladen, firewall rules plaatsen of andere + taken uitvoeren die vereisen dat de in-kernel data wordt + aangepast, zoals het aanpassen van de + securelevel variabele in de kernel. + + Het basis systeem van &os; bevat een basis set van + applicaties voor het inzien van de actieve jails, en voor + het uitvoeren van administratieve commando's in een jail. + De &man.jls.8; en &man.jexec.8; commando's zijn onderdeel van + het basis systeem en kunnen gebruikt worden voor het + uitvoeren van de volgende simpele taken: