Date: Sat, 29 Mar 2008 18:12:59 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 138921 for review Message-ID: <200803291812.m2TICxIa070542@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=138921 Change 138921 by pgj@disznohal on 2008/03/29 18:12:04 Fix typos, refactor translation of "jail", remove slang :) Submitted by: gabor (mentor) Affected files ... .. //depot/projects/docproj_hu/books/handbook/jails/chapter.sgml#6 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/jails/chapter.sgml#6 (text+ko) ==== @@ -19,18 +19,17 @@ </authorgroup> </chapterinfo> - <title>Elzárás</title> + <title>A jail alrendszer</title> - <indexterm><primary>elzárás</primary></indexterm> + <indexterm><primary>jail</primary></indexterm> <sect1 id="jails-synopsis"> <title>Áttekintés</title> - <para>Ez a fejezet a &os;-ben található - elzárási mechanizmust, valamint annak - használatát mutatja be közelebbrõl. Az - elzárás (jail), melyet gyakran csak úgy - emlegetik, mint a <emphasis>chroot környezetek</emphasis> + <para>Ez a fejezet a &os;-ben található jail + alrendszert, valamint annak használatát mutatja be + közelebbrõl. Az jail, melyet gyakran csak úgy + emlegetnek, mint a <emphasis>chroot környezetek</emphasis> továbbfejlesztését, a rendszergazdák számára ajánlott, nagyon sokoldalú eszköz, de a haladó felhasználók is @@ -41,63 +40,62 @@ <itemizedlist> <listitem> - <para>Mi az elzárás, milyen célra - használható a &os;-ben.</para> + <para>mi is az a jail, milyen célra + használható a &os;-ben</para> </listitem> <listitem> - <para>Hogyan fordítsuk, indítsuk el és - állítsuk le az elzárást.</para> + <para>hogyan hozzunk létre, indítsunk el és + állítsunk le jaileket</para> </listitem> <listitem> - <para>A létrehozott elzárások - karbantartásainak alapjait, az elzárásokon - belülrõl és kívülrõl - egyaránt.</para> + <para>a létrehozott jailek karbantartásainak + alapjait, a jailek belülrõl és + kívülrõl egyaránt</para> </listitem> </itemizedlist> - <para>Az elzárásról még több - hasznos információt a következõ - helyekrõl tudhatunk meg:</para> + <para>A jail alrendszerrõl még több hasznos + információt a következõ helyekrõl + tudhatunk meg:</para> <itemizedlist> <listitem> - <para>A &man.jail.8; man oldal. Ez tartalmazza a + <para>a &man.jail.8; man oldal. Ez tartalmazza a <command>jail</command> segédprogram teljes referenciáját — ez az a karbantartásra használható eszköz, amellyel el tudjuk indítani, le tudjuk - állítani és vezérelni tudjuk az - elzárásokat a &os;-ben.</para> + állítani és vezérelni tudjuk a + jaileket a &os;-ben</para> </listitem> <listitem> - <para>A levelezési listák és azok - archívumai. A &a.questions; archívuma és a - &a.mailman.lists;en található többi - levelezési lista halomnyi olvasnivalót tartogat - az elzárásokkal kapcsolatban. Mindig - érdemes keresni ezekben az archívumokban, vagy - beküldeni a kérdésünket a - &a.questions.name; levelezési listára.</para> + <para>a levelezési listák és azok + archívumai. A &a.questions; archívuma és + a &a.mailman.lists;en található többi + levelezési lista rengeteg olvasnivalót tartogat + a jailekkel kapcsolatban. Mindig érdemes keresni + ezekben az archívumokban, vagy beküldeni a + kérdésünket a &a.questions.name; + levelezési listára</para> </listitem> </itemizedlist> </sect1> <sect1 id="jails-terms"> - <title>Az elzáráshoz kapcsolódó + <title>A jail alrendszerhez kapcsolódó fogalmak</title> - <para>A &os;-ben található elzáráshoz + <para>A &os;-ben található jail alrendszerhez tartozó részek és azok belsõ mûködésének, valamint a rendszer - többi részéhez történõ - kapcsolatának minél jobb megértése - érdekében az alábbi fogalmakat fogjuk - innentõl használni a fejezetben:</para> + többi részével történõ + együttmûködésének minél jobb + megértése érdekében az alábbi + fogalmakat használjuk a fejezetben:</para> <variablelist> <varlistentry> @@ -131,7 +129,7 @@ <listitem> <para>Az a rendszerkarbantartó segédprogram, amely lehetõvé teszi program - elindítását egy elzárt + elindítását elzárt környezetben.</para> </listitem> </varlistentry> @@ -162,9 +160,8 @@ stb.)</term> <listitem> <para>Olyan program, felhasználó vagy más - egyéb egyed, amely csak egy elzáráson - keresztül, korlátozottan tud - hozzáférni az + egyéb egyed, amely csak egy jailen keresztül, + korlátozottan tud hozzáférni az erõforrásokhoz.</para> </listitem> </varlistentry> @@ -182,32 +179,32 @@ telepítését, beállítását és karbantartását igyekeznek valamilyen módon - jobbítani. A rendszergazdák egyik feladata, hogy a - gondoskodjanak a biztonságról, miközben a - rendszer képes legyen ellátni az eredeti + jobbá tenni. A rendszergazdák egyik feladata + úgy gondoskodni a biztonságról, hogy + közben a rendszer képes legyen ellátni eredeti feladatát.</para> <para>A &os; rendszerek biztonságosságának - növelését hivatott egyik ilyen eszköz az - <emphasis>elzárás (jails)</emphasis>. - Elõször a &os; 4.X verziójában - bukkant fel, de jelentõs fejlõdésen ment - keresztül a &os; 5.X verziókban, aminek - köszönhetõen sokkal erõteljesebb és - rugalmasabb alrendszerré vált. A fejlesztése - természetesen most is folytatódik tovább, - állandóan fejlõdik a - használhatósága, teljesítménye, - megbízhatósága és - biztonságossága.</para> + növelését hivatott egyik ilyen eszköz a + <emphasis>jails</emphasis>. Elõször a &os; 4.X + verziójában bukkant fel, de jelentõs + fejlõdésen ment keresztül a &os; 5.X + verziókban, aminek köszönhetõen sokkal + erõteljesebb és rugalmasabb alrendszerré + vált. A fejlesztése természetesen most is + folytatódik tovább, állandóan + fejlõdik a használhatósága, + teljesítménye, megbízhatósága + és biztonságossága.</para> <sect2 id="jails-what"> - <title>Mi is egy elzárás</title> + <title>Mi is az a jail?</title> <para>A BSD-szerû operációs rendszerekben már a 4.2BSD óta megtalálható volt a - &man.chroot.2;. A &man.chroot.8; segédprogrammal tudjuk - megváltoztatni adott programok számára a + &man.chroot.2;. A &man.chroot.8; segédprogrammal meg + tudjuk megváltoztatni adott programok + számára a gyökérkönyvtárat, és ezzel egy biztonságos környezetet teremteni, távol a rendszer többi részétõl. A chroot-tal @@ -236,24 +233,24 @@ alrendszert kellett kiépíteni.</para> <para>Ez az egyik oka annak, amiért az - <emphasis>elzárást</emphasis> + <emphasis>jaileket</emphasis> kifejlesztették.</para> - <para>Az elzárás ötlete több - szempontból is a hagyományos &man.chroot.2; - környezet elvén alapszik. Egy hagyományos - &man.chroot.2; környezetben futó programok - korlátozása csupán abban merül ki, - hogy az állományrendszer melyik + <para>A jailek által képviselt elzárás + ötlete több szempontból is a hagyományos + &man.chroot.2; környezet elvén alapszik. Egy + hagyományos &man.chroot.2; környezetben futó + programok korlátozása csupán abban + merül ki, hogy az állományrendszer melyik részét láthatják. A rendszer többi erõforrása (mint mondjuk a felhasználók, futó programok vagy a hálózati alrendszer) azonban továbbra is megosztva marad a chroot környezetben és a befogadó rendszerben futó programok - között. Az elzárás kibõvíti - ezt a modellt, és nem csak az - állományrendszerre vonatkozó + között. A jailek által alkalmazott + megoldás kibõvíti ezt a modellt, és + nem csak az állományrendszerre vonatkozó hozzáférést virtualizálja, hanem több más dolog mellett kiterjeszti ezt a felhasználókra és a &os; @@ -264,43 +261,41 @@ bõvebben a <xref linkend="jails-tuning">ban esik szó.</para> - <para>Az elzárásokat az alább négy - elem írja le:</para> + <para>A jaileket az alább négy elem írja + le:</para> <itemizedlist> <listitem> <para>A könyvtárszerkezet egy részfája — attól a - résztõl indulva, ahonnan az elzárás - kezdõdik. Az elzáráson belül - futó programok nem léphetnek ki ebbõl a + résztõl indulva, ahonnan a jail kezdõdik. + A jailen belül futó programok nem + léphetnek ki ebbõl a részfából. Az eredeti &man.chroot.2; kialakításában merengõ biztonsági hibák lehetõségei nem - veszélyeztetik a &os; - elzárásait.</para> + veszélyeztetik a többi &os; jailt.</para> </listitem> <listitem> - <para>A rendszer neve — a név, amelyet az - elzáráson belül használunk. Mivel - az elzárásokat elsõsorban - hálózati szolgáltatások - kordában tartására használjuk, - az elzárásokhoz tartozó beszédes - rendszernevek sokat tudnak segíteni a - rendszergazdák munkájában.</para> + <para>A rendszer neve — a név, amelyet a jailen + belül használunk. Mivel a jaileket + elsõsorban hálózati + szolgáltatások kordában + tartására használjuk, a jailekhez + tartozó beszédes rendszernevek sokat tudnak + segíteni a rendszergazdák + munkájában.</para> </listitem> <listitem> - <para>Egy <acronym>IP</acronym>-cím — ez fog - tartozni az elzáráshoz és nem is - változtatható meg a mûködése - során. Egy elzárás IP-címe - általában egy már létezõ - hálózati csatoló másik - címe, de ez nem szükségszerûen igaz - minden esetben.</para> + <para>Egy <acronym>IP</acronym>-cím — a jailhez + tartozik és nem változtatható meg a + mûködése során. Egy jail + IP-címe általában egy már + létezõ hálózati csatoló + másik címe, de ez nem + szükségszerûen igaz minden esetben.</para> </listitem> <listitem> @@ -314,9 +309,9 @@ </listitem> </itemizedlist> - <para>Ezektõl eltekintve az elzárások - rendelkezhetnek saját felhasználókkal - és lehetnek saját <username>root</username> + <para>Ezektõl eltekintve a jailek rendelkezhetnek + saját felhasználókkal és lehetnek + saját <username>root</username> felhasználóik is. Természetesen a <username>root</username> hatásköre csak az elzárt környezetre korlátozódik, @@ -332,53 +327,54 @@ korlátozásairól lentiekben bõvebben is említést teszünk a <xref linkend="jails-tuning">ban.</para> + </sect2> </sect1> <sect1 id="jails-build"> - <title>Az elzárások létrehozása - és vezérlése</title> + <title>A jailek létrehozása és + vezérlése</title> - <para>Egyes rendszergazdák az elzárásokat a - következõ két típusba sorolják: - <quote>teljes</quote> elzárás, mely egy - valódi &os; rendszerre emlékeztet, és a - <quote>szolgáltatás</quote> elzárás, - mely egyetlen, feltehetõen kiemelt jogokkal futó + <para>Egyes rendszergazdák a jaileket a következõ + két típusba sorolják: <quote>teljes</quote> + jail, mely egy valódi &os; rendszerre emlékeztet, + és a <quote>szolgáltatás</quote> jail, mely + egyetlen, feltehetõen kiemelt jogokkal futó alkalmazás vagy szolgáltatás számára van elõkészítve. Ez a - besorolás csupán fogalmi szintû, az - elzárás felépítésének - módját nem befolyásolja. A &man.jail.8; man - oldal vegytisztán ismerteti az elzárások - létrehozását:</para> + besorolás csupán fogalmi szintû, a jail + felépítésének módját nem + befolyásolja. A &man.jail.8; man oldal részletesen + ismerteti a jailek létrehozását:</para> - <screen>&prompt.root; <userinput>setenv D <replaceable>/itt/lesz/az/elzárás</replaceable></userinput> + <screen>&prompt.root; <userinput>setenv D <replaceable>/itt/lesz/a/jail</replaceable></userinput> &prompt.root; <userinput>mkdir -p $D</userinput> <co id="jailpath"> &prompt.root; <userinput>cd /usr/src</userinput> &prompt.root; <userinput>make world DESTDIR=$D</userinput> <co id="jailworld"> -&prompt.root; <userinput>cd etc/</userinput> <footnote><para>Ez a -lépés nem szükséges a &os; 6.0-ás vagy annál újabb verziójában.</para></footnote> +&prompt.root; <userinput>cd etc/</userinput> +<footnote> + <para>Ez a lépés nem szükséges a &os; + 6.0-ás vagy annál újabb + verziójában.</para> +</footnote> &prompt.root; <userinput>make distribution DESTDIR=$D</userinput> <co id="jaildistrib"> &prompt.root; <userinput>mount -t devfs devfs $D/dev</userinput> <co id="jaildevfs"></screen> <calloutlist> <callout arearefs="jailpath"> - <para>Érdemes elõször az elzárás - helyét megválasztani. Itt fog fizikailag helyet - foglalni a befogadó rendszer - állományrendszerén belül az - elzárás. Jó választás - lehet erre a <filename - role="directory">/usr/jail/<replaceable>elzárás</replaceable></filename>, - ahol a <replaceable>elzárás</replaceable> az - elzárást azonosító - rendszernév. A <filename + <para>Érdemes elõször a jail helyét + megválasztani. Itt fog fizikailag helyet foglalni a + befogadó rendszer + állományrendszerén belül a jail. + Jó választás lehet erre a <filename + role="directory">/usr/jail/<replaceable>jailnév</replaceable></filename>, + ahol a <replaceable>jailnév</replaceable> a jailt + azonosító rendszernév. A <filename role="directory">/usr/</filename> állományrendszeren általában - elegendõ hely jut az elzárás + elegendõ hely jut a jail állományrendszerének, ami egy - <quote>teljes</quote> elzárás esetén + <quote>teljes</quote> jail esetén lényegében a &os; alaprendszer alapértelmezett telepítésében megtalálható összes állomány @@ -386,8 +382,8 @@ </callout> <callout arearefs="jailworld"> - <para>Ez a parancs fogja felmásolni az - elzárás fizikai helyének választott + <para>Ez a parancs fogja felmásolni a jail fizikai + helyének választott könyvtár-részfába a mûködéshez szükséges programokat, függvénykönyvtárakat, man oldalakat @@ -408,15 +404,15 @@ szólva, átmásolja az összes telepíhetõ állományt a <filename role="directory">/usr/src/etc/</filename> - könyvtárból az elzárás - <filename role="directory">/etc</filename> + könyvtárból a jail <filename + role="directory">/etc</filename> alkönyvtárába, vagyis a <filename role="directory">$D/etc/</filename> könyvtárba.</para> </callout> <callout arearefs="jaildevfs"> - <para>Az elzáráson belül a &man.devfs.8; + <para>A jaileken belül a &man.devfs.8; csatlakoztatása nem kötelezõ. Másrészt azonban majdnem mindegyik alkalmazás, a feladatától @@ -424,11 +420,10 @@ hozzá akar férni. Nagyon fontos, hogy a kezünkbe vegyük a eszközök hozzáférésének - irányítását az - elzáráson belül, mivel a helytelen - beállítások révén a - támadók csúnya dolgokat tudnak majd - mûvelni. A &man.devfs.8; + irányítását a jaileken belül, + mivel a helytelen beállítások + révén a támadók csúnya + dolgokat tudnak majd mûvelni. A &man.devfs.8; mûködését a &man.devfs.8; és &man.devfs.conf.5; man oldalakon is ismertetett szabályrendszerek @@ -436,16 +431,16 @@ </callout> </calloutlist> - <para>Ahogy az elzárást telepítettük, a - &man.jail.8; segédprogrammal tudjuk elindítani. A - &man.jail.8; négy kötelezõ paramétert - vár, melyekre a <xref linkend="jails-what">ban ki is + <para>Ahogy a jailt telepítettük, a &man.jail.8; + segédprogrammal tudjuk elindítani. A &man.jail.8; + négy kötelezõ paramétert vár, + melyekre a <xref linkend="jails-what">ban ki is térünk. Más paraméterek is megadhatóak, pl. az elzárt program egy adott felhasználó jogaival történõ futtatásához. A <option><replaceable>command</replaceable></option> - paraméter használata az elzárás + paraméter használata a jail típusától függ: egy <emphasis>virtuális rendszer</emphasis> esetében a <filename>/etc/rc</filename> jó választásnak @@ -456,43 +451,42 @@ szól, az adott szolgáltatástól vagy alkalmazástól függ.</para> - <para>A elzárásokat gyakran már a - rendszerindítás során elindítják, - amit a &os; <filename>rc</filename> mechanizmusa nagyban meg is + <para>A jaileket gyakran már a rendszerindítás + során elindítják, amit a &os; + <filename>rc</filename> mechanizmusa nagyban meg is könnyít.</para> <procedure> <step> <para>A rendszer indítása során - aktiválandó elzárások - listáját vegyük hozzá a - &man.rc.conf.5; állományhoz:</para> + aktiválandó jailek listáját + vegyük hozzá a &man.rc.conf.5; + állományhoz:</para> <programlisting>jail_enable="YES" # Ide NO-t írjunk, ha ki akarjuk kapcsolni -jail_list="<replaceable>www</replaceable>" # Szóközzel elválasztva soroljuk fel az elzárásokat</programlisting> +jail_list="<replaceable>www</replaceable>" # Szóközzel elválasztva soroljuk fel a jaileket</programlisting> </step> <step> <para>A <varname>jail_list</varname>-ben szereplõ - összes elzárás meg kell adnunk az õket + összes jailt meg kell adnunk az õket leíró &man.rc.conf.5;-beli beállításokat:</para> - <programlisting>jail_<replaceable>www</replaceable>_rootdir="/usr/jail/www" # az elzárás gyökérkönyvtára -jail_<replaceable>www</replaceable>_hostname="<replaceable>www</replaceable>.example.org" # az elzárás neve -jail_<replaceable>www</replaceable>_ip="192.168.0.10" # az elzárás IP-címe -jail_<replaceable>www</replaceable>_devfs_enable="YES" # legyen-e devfs az elzáráson belül + <programlisting>jail_<replaceable>www</replaceable>_rootdir="/usr/jail/www" # a jail gyökérkönyvtára +jail_<replaceable>www</replaceable>_hostname="<replaceable>www</replaceable>.example.org" # a jail neve +jail_<replaceable>www</replaceable>_ip="192.168.0.10" # a jail IP-címe +jail_<replaceable>www</replaceable>_devfs_enable="YES" # legyen-e devfs a jailen belül jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</replaceable>" # az alkalmazott devfs szabályrendszer</programlisting> <para>Az &man.rc.conf.5; állományban szereplõ - elzárások esetén a - <filename>/etc/rc</filename> szkript fut le, tehát - feltételezi, hogy az így megadott - elzárás egy teljes virtuális rendszer. A - szolgáltatások elzárásához - meg kell változtatnunk az elzárás - alapértelmezett parancsát is. Ezt a - <varname>jail_<replaceable>elzárás</replaceable>_exec_start</varname> + jailek esetén a <filename>/etc/rc</filename> szkript + fut le, tehát feltételezi, hogy az így + megadott jail egy teljes virtuális rendszer. A + szolgáltatások jailbe foglalásához + meg kell változtatnunk a jail alapértelmezett + parancsát is. Ezt a + <varname>jail_<replaceable>jailnév</replaceable>_exec_start</varname> opció megfelelõ beállításával tudjuk megtenni.</para> @@ -506,7 +500,7 @@ <para>Ha léteznek a megfelelõ bejegyzések az <filename>rc.conf</filename> állományban, az <filename>/etc/rc.d/jail</filename> szkript is - használható az elzárások kézzel + használható a jailek kézzel történõ elindítására vagy leállítására:</para> @@ -517,63 +511,62 @@ pillanatban még nem érhetõ el szabályos módszer. Ez azért van, mert a szabályos rendszerleállítást elvégzõ - parancsok nem használhatóak az - elzáráson belül. Emiatt az - elzárásokat a legtisztábban úgy tudjuk - leállítani, ha kadjuk az alábbi parancsot - magában az elzárásban vagy pedig a - &man.jexec.8; segédprogrammal az elzáráson - kívülrõl:</para> + parancsok nem használhatóak a jailen belül. + Emiatt a jaileket a legtisztábban úgy tudjuk + leállítani, ha kiadjuk az alábbi parancsot + magában a jailben vagy pedig a &man.jexec.8; + segédprogrammal a jailen kívülrõl:</para> <screen>&prompt.root; <userinput>sh /etc/rc.shutdown</userinput></screen> <para>Errõl a témáról többet a &man.jail.8; man oldalon olvashatunk.</para> + </sect1> <sect1 id="jails-tuning"> <title>Finomhangolás és karbantartás</title> - <para>Számos opció állítható be - az elzárásoknál, és sokféle - módon vegyíthetjük a befogadó &os; - rendszerünket az elzárásokkal, ami által - magasabb szintû alkalmazásokat hozhatunk létre. - Ebben a részben bemutatunk:</para> + <para>Számos opció állítható be a + jaileknél, és sokféle módon + vegyíthetjük a befogadó &os; rendszerünket + a jailekkel, ami által magasabb szintû + alkalmazásokat hozhatunk létre. Ebben a + részben bemutatunk:</para> <itemizedlist> <listitem> <para>Néhány olyan beállítást, amellyel finomhangolhatjuk a - telepített elzárások által + telepített jailek által megvalósított biztonsági megszorítások viselkedését.</para> </listitem> <listitem> - <para>Az elzárások kezelésére - alkalmas néhány olyan magasabb szintû + <para>A jailek kezelésére alkalmas + néhány olyan magasabb szintû alkalmazást, amelyek elérhetõek a &os; Portgyûjteményén keresztül, és - általános elzárás alapú - megoldások kialakításához + általános jail alapú megoldások + kialakításához használhatóak.</para> + </listitem> </itemizedlist> <sect2 id="jails-tuning-utilities"> <title>A &os;-ben található finomhangoló eszközök</title> - <para>Az elzárások - beállításainak finomhangolását - túlnyomórészt &man.sysctl.8; - változókkal végezhetjük el. A - sysctl-en belül egy speciális + <para>A jailek beállításainak + finomhangolását túlnyomórészt + &man.sysctl.8; változókkal végezhetjük + el. A sysctl-en belül egy speciális részfában találhatunk erre alkalmas beállításokat: ez a a &os; rendszermag opciói között megtalálható <varname>security.jail.*</varname>. Itt közüljük - az elzárásokra vonatkozó fontosabb sysctl + a jailekre vonatkozó fontosabb sysctl változók listáját, az alapértelmezett értékeikkel együtt. A nevek minden bizonnyal sokat elárulnak, de ha többet @@ -637,20 +630,18 @@ szintjének) értékét.</para> <para>A &os; alaprendszere tartalmazza a rendszerben aktív - elzárások információit - megjelenítõ és a hozzájuk - történõ csatlakozásra - használható segédeszközöket. A - &man.jls.8; és &man.jexec.8; parancsok részei az - alap &os; rendszernek, segítségükkel - elvégezhetõek az alábbi egyszerû - feladatokat:</para> + jailek információit megjelenítõ + és a hozzájuk történõ + csatlakozásra használható + segédeszközöket. A &man.jls.8; és + &man.jexec.8; parancsok részei az alap &os; rendszernek, + segítségükkel elvégezhetõek az + alábbi egyszerû feladatokat:</para> <itemizedlist> <listitem> - <para>Ki tudjuk íratni az aktív - elzárásokat és hozzájuk - tartozó azonosítókat + <para>Ki tudjuk íratni az aktív jailek és + hozzájuk tartozó azonosítókat (<acronym>JID</acronym>-eket), <acronym>IP</acronym>-címeket, neveket és útvonalakat.</para> @@ -658,42 +649,42 @@ <listitem> <para>A befogadó rendszerbõl hozzá tudunk - csatlakozni egy futó elzáráshoz, - és parancsokat tudunk futtatni az - elzáráson belül vagy karbantartási - feladatokat tudunk elvégezni magán az - elzáráson belül. Ez + csatlakozni egy futó jailhez, és parancsokat + tudunk futtatni a jailen belül vagy + karbantartási feladatokat tudunk elvégezni + magán a jailen belül. Ez különösen hasznosnak bizonyulhat, amikor a <username>root</username> felhasználó - szabályosan le akarja állítani az - elzárást. A &man.jexec.8; - segédprogrammal el tudunk indítani egy - parancsértelmezõt az elzáráson + szabályosan le akarja állítani a jailt. + A &man.jexec.8; segédprogrammal el tudunk + indítani egy parancsértelmezõt a jailen belül, amibõl aztán irányíthatjuk. Példa:</para> <screen>&prompt.root; <userinput>jexec <replaceable>1</replaceable> tcsh</userinput></screen> </listitem> </itemizedlist> + </sect2> <sect2 id="jails-tuning-admintools"> <title>Magasszintû karbantartó eszközök a &os; Portgyûjteményében</title> - <para>A sok külsõs karbantartó eszköz - közül az egyik legteljesebb és leghasznosabb a - <filename role="package">sysutils/jailutils</filename>. Sok - kisebb alkalmazást tartalmaz, melyek kibõvítik - a &man.jail.8; - irányíthatóságát. Bõvebb - információkért kérjük, - látogassa meg a hozzátartozó honlapot.</para> + <para>A sok külsõ karbantartó eszköz + közül az egyik legteljesebb és leghasznosabb a + <filename role="package">sysutils/jailutils</filename>. Sok + kisebb alkalmazást tartalmaz, melyek kibõvítik + a &man.jail.8; + irányíthatóságát. Bõvebb + információkért kérjük, + látogassa meg a hozzátartozó honlapot.</para> + </sect2> </sect1> <sect1 id="jails-application"> - <title>Az elzárások alkalmazása</title> + <title>A jailek alkalmazása</title> <sect2 id="jails-service-jails"> <sect2info> @@ -706,16 +697,16 @@ </authorgroup> </sect2info> - <title>Szolgáltatások elzárása</title> + <title>Szolgáltatások jailbe + foglalása</title> - <para>Ez a rész eredetileg &a.simon; - írásán, melyet megtalálhatunk a <ulink - url="http://simon.nitro.dk/service-jails.html"></ulink> - címen, valamint Ken Tom (<email>locals@gmail.com</email>) - átdolgozott cikkén alapul. Itt - megismerhetjük, hogyan állítsunk a &os; - rendszerünk felé egy biztonsági - réteget a &man.jail.8; + <para>Ez a rész eredetileg &a.simon; <ulink + url="http://simon.nitro.dk/service-jails.html"></ulink> oldalon + található írásán, valamint + Ken Tom (<email>locals@gmail.com</email>) átdolgozott + cikkén alapul. Itt megismerhetjük, hogyan + állítsunk be a &os; rendszerünkben egy + biztonsági réteget a &man.jail.8; felhasználásával. Továbbá feltételezzük, hogy ez a rendszer legalább RELENG_6_0 verziójú és a fejezetben @@ -723,43 +714,40 @@ mértékben megértette.</para> <sect3 id="jails-service-jails-design"> - <title>A kialakítás</title> + <title>A kialakítás</title> - <para>Az elzárások egyik legnagyobb gondja a - frissítés folyamatának - lebonyolítása. Azért jelent ez egyre - inkább gondot, mert minden egyes elzárást + <para>A jailek egyik legnagyobb gondja a frissítés + folyamatának lebonyolítása. Azért + jelent ez egyre inkább gondot, mert minden egyes jailt újra fel kell építenünk a frissítése során. Ez többnyire nem - okoz gondot egyetlen elzárás használata - során, mivel maga a frissítési folyamat + okoz gondot egyetlen jail használata során, + mivel maga a frissítési folyamat meglehetõsen egyszerû, azonban igen idõigényessé és fárasztóvá tud válni több - elzárás esetében.</para> + jail esetében.</para> <warning> - <para>Ez a példa a &os; és - képességeinek haladó szintû - ismeretét követeli meg. Amennyiben az itt - bemutatott lépesek túlságosan is - bonyolultnak tûnnének, érdemes olyan - egyszerûbb rendszerek után nézni, mint - mondjuk a <filename - role="package">sysutils/ezjail</filename>, amely egy - egyszerûbb módszert kínál fel a - &os;-ben használt elzárások + <para>Ez a példa a &os; képességeinek + haladó szintû ismeretét követeli + meg. Amennyiben az itt bemutatott lépesek + túlságosan is bonyolultnak + tûnnének, érdemes olyan egyszerûbb + rendszerek után nézni, mint mondjuk a + <filename role="package">sysutils/ezjail</filename>, amely + egy egyszerûbb módszert kínál fel + a &os;-ben használt jailek karbantartására, és nem is annyira - szájbarágós, mint ez a - példa.</para> + bonyolult, mint ez a példa.</para> </warning> <para>A bemutatandó példa célja, hogy feloldja az ilyen jellegû problémákat, - és ezért igyekszik az elzárások - között mindent megosztani, ami csak - lehetséges. Mindezt biztonságosan éri el - — írásvédett &man.mount.nullfs.8; + és ezért igyekszik a jailek között + mindent megosztani, ami csak lehetséges. Mindezt + biztonságosan éri el — + írásvédett &man.mount.nullfs.8; állományrendszer használatával, aminek köszönhetõen a frissítés maga egyszerûbbé, az egyes @@ -767,17 +755,18 @@ különzárása pedig vonzóbbá válik. Ráadásul egyúttal egy nagyon egyszerû módszert mutat - új elzárások - hozzáadására és a régi - törlésére ugyanúgy, mint a + az új jailek hozzáadására + és a régi törlésére + ugyanúgy, mint a frissítésükre.</para> <note> <para>Például ilyen szolgáltatásokat kívánunk - szabályozni: egy <acronym>HTTP</acronym> szervert, egy - <acronym>DNS</acronym> szervert, egy <acronym>SMTP</acronym> - szervert és így tovább.</para> + szabályozni: egy <acronym>HTTP</acronym> szervert, + egy <acronym>DNS</acronym> szervert, egy + <acronym>SMTP</acronym> szervert és így + tovább.</para> </note> <para>Az itt szereplõ beállítás @@ -787,23 +776,21 @@ <listitem> <para>Készítsünk egy egyszerûen és könnyen átlátható - elzárási rendszert. Ebbõl tehát + jailkezelési rendszert. Ebbõl tehát következik, hogy <emphasis>ne</emphasis> kelljen lefuttatni a teljes rendszer telepítését minden egyes - elzárásra.</para> + jailre.</para> </listitem> <listitem> - <para>Könnyítsük meg az új - elzárások hozzáadását - és a régiek + <para>Könnyítsük meg az új jailek + hozzáadását és a régiek eltávolítását.</para> </listitem> <listitem> <para>Könnyítsük meg a már - létezõ elzárások - frissítését és - cseréjét.</para> + létezõ jailek frissítését + és cseréjét.</para> </listitem> <listitem> <para>Tegyük lehetõvé saját &os; @@ -812,8 +799,8 @@ <listitem> <para>Legyünk különösen körültekintõek a biztonság - tekintetében, és igyekezzünk minél - jobban csökkenteni veszély + tekintetében, és igyekezzünk + minél jobban csökkenteni veszély kockázatát.</para> </listitem> <listitem> @@ -828,10 +815,9 @@ építkezik egyetlen fõ sablonra, amely írásvédetten kerül csatlakoztatásra (<application>nullfs</application>en - keresztül) az egyes elzárásokban, valamint - elzárásonként egy-egy - írható-olvasható eszközre. Ez az - eszköz lehet egy külön fizikai lemez, egy + keresztül) az egyes jailekben, valamint jailenként + egy-egy írható-olvasható eszközre. + Ez az eszköz lehet egy külön fizikai lemez, egy partíció vagy egy vnode alapú &man.md.4; eszköz. Ebben a példában írható-olvasható @@ -843,37 +829,36 @@ <itemizedlist> <listitem> - <para>Minden elzárást a <filename + <para>Minden jailt a <filename role="directory">/home/j</filename> könyvtárban csatlakoztatunk.</para> </listitem> <listitem> <para>A <filename role="directory">/home/j/mroot</filename> - lesz az összes elzárás sablonja - és mindegyikük számára + lesz az összes jail sablonja és + mindegyikük számára írásvédett.</para> </listitem> <listitem> - <para>Minden elzárásnak létrehozunk egy - üres alkönyvtárat a <filename - role="directory">/home/j"</filename> + <para>Minden jailnek létrehozunk egy üres + alkönyvtárat a <filename + role="directory">/home/j</filename> könyvtárban.</para> </listitem> <listitem> - <para>Minden elzárásnak lesz egy <filename + <para>Minden jailnek lesz egy <filename role="directory">/s</filename> alkönyvtára, amelyet a rendszer írható-olvasható részére irányítunk.</para> </listitem> <listitem> - <para>Minden elzárásnak lesz egy saját - írható-olvasható része, amely a - <filename role="directory">/home/j/skel</filename> + <para>Minden jailnek lesz egy saját + írható-olvasható része, amely + a <filename role="directory">/home/j/skel</filename> könyvtáron alapszik.</para> </listitem> <listitem> - <para>Mindegyik elzárt terület (az - elzárások + <para>Mindegyik elzárt terület (a jailek írható-olvasható része) a <filename role="directory">/home/js</filename> könyvtárban jön létre.<para> @@ -881,14 +866,15 @@ </itemizedlist> <note> - <para>Ez a kiosztás feltételezi, hogy az - elzárásokat a <filename - role="directory">/home</filename> partíción - hozzuk létre. Ez természetesen bármi - másra megváltoztatható, de akkor - figyelnünk kell erre minden egyes parancs - kiadása elõtt.</para> + <para>Ez a kiosztás feltételezi, hogy a jaileket + a <filename role="directory">/home</filename> + partíción hozzuk létre. Ez + természetesen bármi másra + megváltoztatható, de akkor figyelnünk + kell erre minden egyes parancs kiadása + elõtt.</para> </note> + </sect3> <sect3 id="jails-service-jails-template"> @@ -896,9 +882,8 @@ <para>Ez a rész leírja a fõ sablon létrehozásához szükséges - lépéseket. Ez az elzárások - számára írásvédett - lesz.<para> + lépéseket. Ez a jailek számára + írásvédett lesz.<para> <para>Érdemes mindig frissíteni a &os; rendszerünket a legújabb -RELEASE ágra. @@ -923,10 +908,9 @@ az írásvédett állományrendszer könyvtárszerkezetét, amely majd - tartalmazni fogja az elzárások által - használt &os;-s programokat. Ezután - lépjünk be a &os; - forrásfájának + tartalmazni fogja a jailek által használt + &os;-s programokat. Ezután lépjünk be + a &os; forrásfájának könyvtárába és telepítsük fel az írásvédett @@ -936,10 +920,11 @@ &prompt.root; <userinput>cd /usr/src</userinput> &prompt.root; <userinput>make installworld DESTDIR=/home/j/mroot</userinput></screen> </step> + <step> <para>Ezt követõen készítsük - elõ az elzárások számára a - &os; Portgyûjteményt és &os; + elõ a jailek számára a &os; + Portgyûjteményt és &os; forrásfát, melyek kellenek a <application>mergemaster</application> használatához:</para> @@ -949,6 +934,7 @@ >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200803291812.m2TICxIa070542>