[Belansky]

1. Обязательно. Т.к. он необходим для захода на виртуальную машину через ssh и работы там.
2. Возможно.

[mar]

те для юзерского jail - окружения надо давать alias-ые ip?
а для демонского - надо полагать не нужно?

[Belansky]

Алиасы работают в обоих случаях. Тотже Apache слушает алиасный ip на заданном порту.

[mar]

жаль, в моем случае, пожалуй было бы лучше, как в простом chroot-окружении
Все равно спасибо, пойду читать man-ы и доки

[Belansky]

Удачи.

[mar]

а вот такой вопрос - немного не о том (те не jail, а просто chroot)
я тут попробовала просто собрать обычное минимальное chroot - окружение на фришной машине (ну, примерно, как вот тут http://www.linux-mag.com/2002-12/chroot_01.html рассказано, но применительно к FreeBSD) - те без ип, просто чтобы можно было туда перейти и все бы жэило.
вроде собрала, положила туда bash и ls, проверила:
chroot /home/jail /bin/bash
pwd
/
cd .. - выше не пускает, в общем - все нормально
создала юзера test с домашним каталогом /home/test, скопировала туда каталоги из /home.jail
chroot /home/test /bin/bash - работает
загнала эту строчку в исполняемый файл - при запуске все роаботает
Попыталась ему в /etc/master.passwd прописать в виде шелла прописать эж тот самый исполняемый файл и тут при попытке сказать su test - облом
su: /usr/local/bin/test: Exec format error

расписала в /usr/local/bin/test chroot с полным путем - тот же эффект
при попытке приписать в /usr/local/bin/test шебанг, скажем баша - файл опять-таки исполняется, но оболочкой служить не желает, правда уже сдругой руганью - chroot: /home/kluge: Operation not permitted
Все права на все каталоги для юзера даны. Мб кто-нибудь подскажет в чем дело? На старых версиях  FreeBSD мне вполне удавалось подменять шеллы в мастер-пассворд какими-нибудь скриптами



Добавлено:

так - спасибо, получилось
для желающим ходить по моим граблям -
надо в скрипт внести понятие sudo, а юзера добавить в /usr/local/etc/sudoers:
test   ALL=NOPASSWD: /usr/sbin/chroot /home/test /bin/bash
#visudo

Файл "оболочки":
su-2.05b# cat /usr/local/bin/chroot_sh
#!/usr/local/bin/bash
sudo /usr/sbin/chroot /home/$USER /bin/bash

соответственно, в /etc/master.passwd: (в качестве шелла)
:/home/test:/usr/local/bin/chroot_sh
vipw
после этого ssh пускает в chroot

И следующий влпрос - чтобы они ходили по ftp обо всем этом можно забыть и, наоборот - ftp настраивать? (тк теперь по ssh пускает, делая рутом в домашнем каталоге, а вот при попытке зайти по ftp получаем:
Apr  4 19:45:04 bastion ftpd[89049]: FTP LOGIN REFUSED FROM server, test
?

и еще - кто как считает - для каких задач лучше jail, для каких просто chroot?

Thenks )

[mar]

ну то есть сейчас я для юзеров, заходящих по ftp сделала ftp-ый chroot (ftp родной freebsd-ый) :
cat /etc/ftpchroot
test1
===========
cat /etc/shells
...
/usr/bin/noshell
===========
cat /etc/passwd
...:/usr/bin/noshell
===========
при этом test1 заходит по ftp и видит только свой home, но не может зайти по ssh и с консоли

А вот как бы сделать так, чтобы и по ssh, и по ftp видели только свой home? А то у меня что-то все пока по-отдельности выходит

[Belansky]

IMHO лучше все-таки применить jail. Что проще: собрать мир в нужном каталоге, приписать виртуальные ip. И юзера будут видеть только лишь часть системы как полноценную систему, в которой, однако, не крутиться ничего важного.

[mar]

те дабы система своей явной усеченностью (при chroot), или явным намеком на то, что выше имеется каталог, в который не подняться (как при ftpchroot) не вводила во искушение
(правда знающий человек, попав в jail-среду все равно догадается, что он в песочнице ) Но вот 2 момента:
- ресурс jail явно должен требовать больше
- идея "полноценной" установки в jail - каталог по-моему тоже палка о двух концах Ладно, попробую