кто-нибудь ставил subj?
есть ряд вопросов:
1) обязательно ли jail-окружению присваивать ip? или можно просто, как в не-jail chroot-среде запускать процесс в нем, или юзеру в оболочке для входа прописать chroot туда-то?
2) связанный с 1-ым вопрос: если я установлю что-нибудь (тот же апач), а потом захочу, чтоб он у меня в jail chroot окружении работал, это возможно?

1. Обязательно. Т.к. он необходим для захода на виртуальную машину через ssh и работы там.
2. Возможно.

те для юзерского jail - окружения надо давать alias-ые ip?
а для демонского - надо полагать не нужно?

Алиасы работают в обоих случаях. Тотже Apache слушает алиасный ip на заданном порту.

жаль, в моем случае, пожалуй было бы лучше, как в простом chroot-окружении :(
Все равно спасибо, пойду читать man-ы и доки :)

Удачи. :)

а вот такой вопрос - немного не о том :) (те не jail, а просто chroot)
я тут попробовала просто собрать обычное минимальное chroot - окружение на фришной машине (ну, примерно, как вот тут http://www.linux-mag.com/2002-12/chroot_01.html рассказано, но применительно к FreeBSD) - те без ип, просто чтобы можно было туда перейти и все бы жэило.
вроде собрала, положила туда bash и ls, проверила:
chroot /home/jail /bin/bash
pwd
/
cd .. - выше не пускает, в общем - все нормально
создала юзера test с домашним каталогом /home/test, скопировала туда каталоги из /home.jail
chroot /home/test /bin/bash - работает
загнала эту строчку в исполняемый файл - при запуске все роаботает
Попыталась ему в /etc/master.passwd прописать в виде шелла прописать эж тот самый исполняемый файл и тут при попытке сказать su test - облом :(
su: /usr/local/bin/test: Exec format error

расписала в /usr/local/bin/test chroot с полным путем - тот же эффект
при попытке приписать в /usr/local/bin/test шебанг, скажем баша - файл опять-таки исполняется, но оболочкой служить не желает, правда уже сдругой руганью - chroot: /home/kluge: Operation not permitted :(
Все права на все каталоги для юзера даны. Мб кто-нибудь подскажет в чем дело? На старых версиях  FreeBSD мне вполне удавалось подменять шеллы в мастер-пассворд какими-нибудь скриптами



Добавлено:

так - спасибо, получилось :)
для желающим ходить по моим граблям :) -
надо в скрипт внести понятие sudo, а юзера добавить в /usr/local/etc/sudoers:
test   ALL=NOPASSWD: /usr/sbin/chroot /home/test /bin/bash
#visudo

Файл "оболочки":
su-2.05b# cat /usr/local/bin/chroot_sh
#!/usr/local/bin/bash
sudo /usr/sbin/chroot /home/$USER /bin/bash

соответственно, в /etc/master.passwd: (в качестве шелла)
:/home/test:/usr/local/bin/chroot_sh
vipw
после этого ssh пускает в chroot

И следующий влпрос - чтобы они ходили по ftp обо всем этом можно забыть и, наоборот - ftp настраивать? (тк теперь по ssh пускает, делая рутом в домашнем каталоге, а вот при попытке зайти по ftp получаем:
Apr  4 19:45:04 bastion ftpd[89049]: FTP LOGIN REFUSED FROM server, test
?

и еще - кто как считает - для каких задач лучше jail, для каких просто chroot?

Thenks :))

ну то есть сейчас я для юзеров, заходящих по ftp сделала ftp-ый chroot (ftp родной freebsd-ый) :
cat /etc/ftpchroot
test1
===========
cat /etc/shells
...
/usr/bin/noshell
===========
cat /etc/passwd
...:/usr/bin/noshell
===========
при этом test1 заходит по ftp и видит только свой home, но не может зайти по ssh и с консоли

А вот как бы сделать так, чтобы и по ssh, и по ftp видели только свой home? А то у меня что-то все пока по-отдельности выходит :(

IMHO лучше все-таки применить jail. Что проще: собрать мир в нужном каталоге, приписать виртуальные ip. И юзера будут видеть только лишь часть системы как полноценную систему, в которой, однако, не крутиться ничего важного.

те дабы система своей явной усеченностью (при chroot), или явным намеком на то, что выше имеется каталог, в который не подняться (как при ftpchroot) не вводила во искушение ;)
(правда знающий человек, попав в jail-среду все равно догадается, что он в песочнице :)) Но вот 2 момента:
- ресурс jail явно должен требовать больше
- идея "полноценной" установки в jail - каталог по-моему тоже палка о двух концах :( Ладно, попробую

Дискового пространства jail потребляет больше, но не других ресурсов.
И установка не полноценная, ядро собирать не нужно.

c chroot все (и ssh и ftp одновременно) заработало. Похоже и раньше работало: то ли у меня в голове глюк был, то ли я по модему и через несколько машин во внутреннюю сетку криво пролезала :(
Попробовала поставить jail (честный)
Первые впечатления -
ps, top, pwd, ls - все хорошо, сидим внутри
df дает полное представление о настоящей структуре диска. fdisk - jail-ного рута тоже показывает настоящий
что-то мне это не нравится
:(

и еще - что же туда всю коллекцию портов заливать?

Порты можно залить все, а собрать только то, что нужно.
Так оно и работает. df выдает информацию о физических дисках, а в jail их нет. Но, это никак не отображается на безопасности системы. Пользователи, которые заходят в каталог по ftp, изначально лишены возможности обращения к таким командам.

это я понимаю :) по ftp вполне достаточно ftpchroot - юзеры без шелла. Просто интересно
1) вообще в этом разобраться
2) есть несколько бойцов, которые явно поросят шелл (не на этой, так на других машинах), поэтому надо бы научиться делать полноценную, но безопасную песочницу. (это ребята, которым я доверяю чисто по-человечески, но мало тренированные :)
3) может возникнуть необходимость дать ftp+apache+mod_php+mysql (как хостинг) людям, которым я ни на грош не доверяю, но начальство может руки выкрутить - лучше подготовиться
4) есть люди, которым надо зайти по ftp, положить свои странички, но этим достаточно ftpchroot
вот. ну и еще раз - разобраться-то охота :)

Вот для таких целей и служит jail. Покопался еще в литературе и уяснил для себя, что тотже Apache и иже с ним лучше собрать по-новой в окружении jail, так как он и иже с ним ищет библиотеки, модули и конфиги в определенных каталогах и расположение таковых в нетрадиционных местах требует ручного указание их местоположения, что по невнимательности может привести в ошибкам и, как следствие, к нестабильности.