我使用 FreeBSD 和 ZFS 来运行多个 jail。对于 jail 管理,我使用的是ezjail
,并且我有一个用于配置的模板 jail。
我想在所有 jail 和主机之间共享密码、组和身份验证信息。对于 jail,它可以是只读的。
是否存在某种机制可以共享主机密码、组等,而无需任何复杂的系统(如 LDAP/NIS/等)?
答案1
LDAP 或 NIS 是正确的解决方案——它其实并不复杂,你应该花一天时间学习两者(大约半天时间掌握基础知识。如果你购买 O'Reilly,时间就更少了)NIS 书&LDAP 手册。
这里最大的优势是你可以集中一些帐户(管理访问/支持用户),根据每个监狱授权其他人,并且在特定机器上仍有本地用户。
如果您真的坚决反对 LDAP 或 NIS,那么下一个最佳选择是使用 Puppet、Chef、radmind 或类似工具来更新passwd
和group
文件——您可以将身份验证/授权文件作为站点范围部署过程的一部分自动同步。
自动部署工具有其自身的复杂性问题,但也带来了许多好处,可能使它们适合您的环境
下一步是在主机系统上使用 cron 作业,在设定的时间将标准passwd
和group
文件复制到每个 jail。这是最简单的解决方案,效果很好,尽管它与手动复制文件相比只有很小的进步。
答案2
您可以尝试硬链接(ln(1)
)。
答案3
如果我没记错的话,ezjail 在默认 jail 中设置了许多目录和文件,这些目录和文件在其他 jail 之间共享。我想你也可以将用户放在那里。也许首先需要进行一些分析,然后再进行手动操作。
但说实话,我认为这会破坏监狱的安全性。我通常会建造监狱,尽可能地隔离。