Upload
loic-tosser
View
389
Download
0
Embed Size (px)
DESCRIPTION
Présentation jail FreeBSD
Citation preview
Jails FreeBSDThe power to Serve !!!
Apéro Web Nancy 24.04.2014
1
Introduction
• Présentation de FreeBSD
• Présentation des Jails
• Présentation ezjail
• Fonctionnalités avancées
2
FreeBSD
• The Power to Serve
• Système UNIX libre
• Base 386BSD
• Dernière version : FreeBSD 10 (janvier 2014)
3
FreeBSD
• Plutôt sur serveurs et desktops
• Séparation système / logiciels
• Ports
• pkg/poudriere (merci bapt)
4
FreeBSD
5
/usr
/root
/proc/sbin
/bin /lib/etc
/var
/tmp
/mnt
/dev
Jails
• Historique : jail(8) jail(2) en 2000 !!!
• chroot boosté
6
Jails• Solution de cloisonnement : processus, système de
fichier, réseau
• Restriction de privilèges dans la jail :
• sockets RAW DIVERT ROUTING interdites
• pas d’accès aux appels systèmes privilégiés (sysctl et modules)
• interdiction d’accéder aux ressources non associés à la jail
7
Création d’une jail
• Creation de la jail:
• $ mkdir /jails/prison2
• $ tar -xf base.txz -C /jails/prison2
• $ jail -c -n prison2 persist mount.devfs ip4=inherit path=/jails/prison2 host.hostname="prison2"
8
Ezjail
• Framework d’administration de jail
• Compatible pleinement avec les outils Jail
• Écrit en Shell
9
Ezjail• Avantages
• une seule base système pour toutes les jails
• mise à jour massive
• partie système en Read Only
• Support de ZFS (Ooooooh Yeah !!!)
• KISS10
Ezjail
• Démarrage rapide :
• ezjail-admin install
• ezjail-admin create apero ‘em0|10.0.0.2'
• ezjail-admin start apero
• ezjail-admin console apero
11
Saveurs
• permettent de définir un template :
• services au démarrage
• configuration
12
ZFS
• Ezjail totalement compatible ZFS
• limitation de place
• chiffrement
13
Archives
• ezjail-admin archive
• archivage par défaut avec un timestamp
• archivage de toutes les jails en un seul coup
• archive en tar.gz
• restauration ultrasimple
14
Schéma
15
/usr/local
/etc
partie commune
Démo
• let’s see !!!
16
Fonctionnalités manquantes
• Limitation en RAM nécessite une recompilation kernel
• contrôle à distance (libvirt tcp)
• Limitation en CPU non incluse dans la conf ezjail
17
Fonctionnalités avancées
• Possibilité de faire fonctionner du FreeBSD 32 bit sur un hôte 64 bit
• Possibilité de faire tourner du linux dans une jail (debian/centos/…)
• mod_jail pour Apache
18
The End
• Merci pour votre écoute
• Des questions ?
19