Во FreeBSD добавлена поддержка иерархических изолированных окружений

27.05.2009 19:24

Jamie Gritton добавил во FreeBSD-CURRENT поддержку иерархических (вложенных) jail'ов. Теперь внутри защищенных контейнеров можно в свою очередь создавать другие контейнеры, при необходимости с более (но никогда не менее) жесткими ограничениями.

Также некоторые настройки, относящиеся к jail и доступные ранее глобально через sysctl, теперь можно изменять для каждого контейнера отдельно (sysctl оставлены для обратной совместимости). Команда jail также претерпела изменения и теперь позволяет вместо предопределенного набора параметров задавать произвольные пары "имя=значение" для более гибкой настройки и возможности последующего расширения. Также параметры jail теперь можно менять "на лету".

Из патчей по улучшению Jail, которые еще не включены в основное дерево исходных текстов можно отметить: возможность для ограничения объема памяти и ресурсов CPU; реализацию отдельных для каждого Jail пространства идентификаторов процессов (pid), идентификаторов пользователей (uid) и SysV IPC.

исправить +5 +/–

Автор новости: аноним

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/21915-freebsd

Ключевые слова: freebsd, jail, chroot, limit, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Аноним (-), 20:20, 27/05/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Замечательная новость! Особенно потому что бесплатной виртуализации на уровне ОС для FreeBSD не существует, но в скором будущем все изменится

2.13, Ivan (??), 01:10, 28/05/2009 [^] [^^] [^^^] [ответить]	+/–
>Замечательная новость! Особенно потому что бесплатной виртуализации на уровне ОС для FreeBSD >не существует, Так вот может она и не нужна? Если есть хорошо реализованные изолированные окружения с контролем использования процессорных ресурсов? Остаётся реализовать сохранение/востановление состояний содержимого и перенос между машинами.

1.6, metallic (?), 22:20, 27/05/2009 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
когда же можно будет создавать несколько сетевых интерфейсов для клетки

2.7, Александр (??), 22:30, 27/05/2009 [^] [^^] [^^^] [ответить]

+/–

С 4 мая 2009 - в 7.2 jail можно привязать несколько IP.

http://www.cyberciti.biz/faq/freebsd-jail-add-multiple-ipv4-ipv6-address/
http://www.cyberciti.biz/tips/freebsd-72-review-improved-virtualization.html

P.S. Привязывается к одному физическому интерфейсу, но если очень надо - можно разрулить трафик на несколько интерефейсов через PF.

2.8, Аноним (-), 22:30, 27/05/2009 [^] [^^] [^^^] [ответить]	+/–
А что, нельзя? multi-ip jailы закоммичены уже и не помню когда.

2.9, iZEN (ok), 22:52, 27/05/2009 [^] [^^] [^^^] [ответить]	+/–
Проснулись. 7.2-RELEASE имеет эту фишку из коробки.

3.15, metallic (?), 16:27, 28/05/2009 [^] [^^] [^^^] [ответить]	+/–
7.2 еще не щупал :) если сделали, вообще отлично

1.10, Аноним (-), 23:34, 27/05/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>возможность для ограничения объема памяти и ресурсов CPU замечательно будет, если включат!

2.11, terminus (ok), 23:50, 27/05/2009 [^] [^^] [^^^] [ответить]	+/–
>>>возможность для ограничения объема памяти и ресурсов CPU > >замечательно будет, если включат! Помогайте тестировать патч ;)

3.12, Аноним (-), 00:12, 28/05/2009 [^] [^^] [^^^] [ответить]	+/–
с радостью бы, но у меня нет CURRENT и нет возможности ее поставить. Разве что на эмуляторе ... А патчи, как я понимаю, для куррента делаются.

4.14, fxp (?), 12:28, 28/05/2009 [^] [^^] [^^^] [ответить]	+/–
>с радостью бы, но у меня нет CURRENT и нет возможности ее >поставить. Разве что на эмуляторе ... А патчи, как я понимаю, >для куррента делаются. http://forum.lissyara.su/viewtopic.php?f=8&t=18031

1.16, Аноним (-), 15:58, 31/05/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
кто пробовал пачт? отпишитесь? где его скачать и как пропатчить?

2.17, аноним (?), 23:52, 03/06/2009 [^] [^^] [^^^] [ответить]	+/–
>кто пробовал пачт? отпишитесь? где его скачать и как пропатчить? Обновиться до current.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: