Date: Wed, 30 Jul 2008 17:08:54 GMT From: Remko Lodder <remko@FreeBSD.org> To: Perforce Change Reviews <perforce@freebsd.org> Subject: PERFORCE change 146251 for review Message-ID: <200807301708.m6UH8sYN096426@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=146251 Change 146251 by remko@remko_nakur on 2008/07/30 17:07:58 latest work in progress. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#6 (text+ko) ==== @@ -1,7 +1,7 @@ <!-- - The FreeBSD Documentation Project + The FreeBSD Dutch Documentation Project - $FreeBSD: doc/en_US.ISO8859-1/books/handbook/jails/chapter.sgml,v 1.15 2008/03/25 17:21:09 jkois Exp $ + $FreeBSD$ --> <chapter id="jails"> <chapterinfo> @@ -298,7 +298,7 @@ <filename role="directory">$D/etc</filename>.</para> </callout> - <callout arearefs="jaildevs"> + <callout arearefs="jaildevfs"> <para>Het koppelen van het &man.devfs.8; bestands systeem is niet vereist in een jail. Aan de andere kant, vrijwel elke applicatie heeft toegang nodig tot minstens @@ -307,7 +307,7 @@ apparaten te controleren binnenin een jail, omdat incorrecte instellingen een aanvaller de mogelijkheid kunnen geven om vervelende dingen in de jail te doen. De controle over - &man.defvs.8; wordt gedaan door middel van rulesets, welke + &man.devfs.8; wordt gedaan door middel van rulesets, welke beschreven worden in de &man.devfs.8; en &man.devfs.conf.5; handleidingen.</para> </callout> @@ -364,28 +364,123 @@ <para>Voor een complete lijst van beschikbare opties, zie de &man.rc.conf.5; handleiding.</para> </note> - </procedure> + </step> + </procedure> - <para>Het <filename>/etc/rc.d/jail</filename> bestand kan worden - gebruikt om jails handmatig te starten en te stoppen, mits er - een overeenkomstige set regels bestaat in - <filename>/etc/rc.conf</filename>.</para> + <para>Het <filename>/etc/rc.d/jail</filename> bestand kan worden + gebruikt om jails handmatig te starten en te stoppen, mits er + een overeenkomstige set regels bestaat in + <filename>/etc/rc.conf</filename>.</para> - <screen>&prompt.root; <userinput>/etc/rc.d/jail start <replaceable>www</replaceable></userinput> + <screen>&prompt.root; <userinput>/etc/rc.d/jail start <replaceable>www</replaceable></userinput> &prompt.root; <userinput>/etc/rc.d/jail stop <replaceable>www</replaceable></userinput></screen> + <para>Er is op dit moment geen nette methode om een jail te + stoppen. Dit komt omdat de benodigde applicaties die een + nette afsluiting verzorgen, niet beschikbaar zijn in een + jail. De beste manier om een jail af te sluiten is door + het volgende commando van binnenin de jail uit te voeren + of door middel van het &man.jexec.8; commando:</para> + + <screen>&prompt.root; <userinput>sh /etc/rc.shutdown</userinput></screen> + + <para>Meer informatie over dit alles kan gevonden worden in de + &man.jail.8; handleiding.</para> </sect1> <sect1 id="jails-tuning"> - <title>* Optimaliseren en administratie</title> + <title>Optimaliseren en administratie</title> + + <para>Er zijn meerdere opties beschikbaar die ingesteld kunnen + worden voor elke jail, en er zijn meerdere mogelijkheden om een + &os; host systeem te combineren met jails om een hoger nivo van + applicaties te verkrijgen. Deze sectie presenteert:</para> + + <itemizedlist> + <listitem> + <para>Een aantal opties zijn beschikbaar voor het optimaliseren + van het gedrag en beveiligings beperkingen die geimplementeerd + worden in een jail.</para> + </listitem> - <para>Wordt nog vertaald.</para> + <listitem> + <para>Een aantal hoger nivo applicaties die gebruikt worden voor + het beheren van jails, welke beschikbaar zijn via de &os; Ports + Collectie en kunnen gebruikt worden om een complete + jail-gebaseerde oplossing te creeëren.</para> + </listitem> + </itemizedlist> <sect2 id="jails-tuning-utilities"> - <title>* Systeem applicaties voor het optimaliser van jails onder + <title>Systeem applicaties voor het optimaliseren van jails onder &os;</title> - <para>Wordt nog vertaald.</para> + <para>Het goed kunnen optimaliseren een jail configuratie wordt + veelal gedaan door het instellen van &man.sysctl.8; variabelen. + Er bestaat een speciale subtak van sysctl voor het organiseren + van alle relevante opties: de <varname>security.jail.*</varname> + hierarchie binnen de &os; kernel opties. Hieronder staat een + lijst van de belangrijkste jail-gerelateerde sysctl variabelen, + met informatie over de standaard waardes. De benaming zou + zelf beschrijvend moeten zijn, maar voor meer informatie + kunnen de &man.jail.8; en &man.sysctl.8; handleidingen + geraadpleegd worden.</para> + + <itemizedlist> + <listitem> + <para><varname>security.jail.set_hostname_allowed: + 1</varname></para> + </listitem> + + <listitem> + <para><varname>security.jail.socket_unixiproute_only: + 1</varname></para> + </listitem> + + <listitem> + <para><varname>security.jail.sysvipc_allowed: + 1</varname></para> + </listitem> + + <listitem> + <para><varname>security.jail.enforce_statfs: + 2</varname></para> + </listitem> + + <listitem> + <para><varname>security.jail.allow_raw_sockets: + 0</varname></para> + </listitem> + + <listitem> + <para><varname>security.jail.chflags_allowed: + 0</varname></para> + </listitem> + + <listitem> + <para><varname>security.jail.jailed: 0</varname></para> + </listitem> + </itemizedlist> + + <para>Deze variabelen kunnen door de systeem beheerder gebruikt + worden op het <emphasis>host systeem</emphasis> om limitaties + toe te voegen of te verwijderen, welke standaard opgedwongen + worden aan de <username>root</username> gebruiker. Let op, + een aantal beperkingen kan niet worden aangepast. De + <username>root</username> gebruiker mag geen bestandssystemen + koppelen of ontkoppelen binnenin een &man.jail.8;. De + <username>root</username> gebruiker mag ook geen &man.devfs.8; + rulesets laden of ontladen, firewall rules plaatsen of andere + taken uitvoeren die vereisen dat de in-kernel data wordt + aangepast, zoals het aanpassen van de + <varname>securelevel</varname> variabele in de kernel.</para> + + <para>Het basis systeem van &os; bevat een basis set van + applicaties voor het inzien van de actieve jails, en voor + het uitvoeren van administratieve commando's in een jail. + De &man.jls.8; en &man.jexec.8; commando's zijn onderdeel van + het basis systeem en kunnen gebruikt worden voor het + uitvoeren van de volgende simpele taken:</para> </sect2> <sect2 id="jails-tuning-admintools">
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200807301708.m6UH8sYN096426>