The OpenNET Project: Подготовка chroot-окружения в Red Hat-подобных Linux

Подготовка chroot-окружения в Red Hat-подобных Linux	[исправить]
Формирование Chroot-окружения в CentOS, Fedora и RHEL. Создаем БД для пакетного менеджера RPM внутри создаваемого chroot: mkdir -p /home/chroot_web/var/lib/rpm rpm --root /home/chroot_web --initdb Загружаем базовые пакеты с описанием текущего релиза Fedora Linux (для CenOS пишем centos-release, для RHEL - redhat-release): yumdownloader --destdir=/var/tmp fedora-release cd /var/tmp rpm --root /home/chroot_web -ivh --nodeps fedora-release*rpm Ставим в chroot apache и все необходимые для его работы зависимости, в итоге получим минимальную систему для работы httpd: yum --installroot=/home/chroot_web -y install httpd После настройки Apache запускаем его: chroot /home/chroot_web /usr/sbin/apachectl start


15.10.2009 , Источник: http://prefetch.net/articles/yumchr... Ключи: chroot, jail, linux, fedora, redhat, limit / Лицензия: CC-BY
Раздел: Корень / Безопасность / Помещение программ в chroot

Обсуждение

[ Линейный режим | Показать все | RSS ]

1.1, Аноним (-), 13:26, 16/10/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ещё можно сделать # mount -o bind /dev /home/chroot_web/dev # mount -t proc none /home/chroot_web/proc

1.2, Аноним (-), 16:14, 16/10/2009 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Спасибо.

Мне пришлось ещё скопировать в /home/chroot_web/dev
/dev/null
/dev/urandom

и создать файл
/home/chroot_web/etc/sysconfig/network

А запускать можно с помощью
chroot /home/chroot_web /etc/init.d/httpd start

1.3, Heckfy (ok), 19:32, 16/10/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У меня debian, но общий смысл моего совета не меняется: # grep chroot /etc/inittab 13:23:wait:/usr/sbin/chroot /home/chroot_mail /etc/init.d/rc 2 14:23:wait:/usr/sbin/chroot /home/chroot_web /etc/init.d/rc 2

1.4, sHaggY_caT (ok), 20:32, 16/10/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чего только люди не придумывают, что бы не использовать нормальные контейнеры (OVZ, PVC, VServer хотя бы, или тот же LXC)

2.5, anonymous (??), 21:44, 16/10/2009 [^] [^^] [^^^] [ответить]	+/–
чего люди не придумывают, чтобы не использовать chroot

3.7, sHaggY_caT (ok), 20:41, 17/10/2009 [^] [^^] [^^^] [ответить]	+/–
>чего люди не придумывают, чтобы не использовать chroot Нет, просто создание велосипедов, это зло))) мок совсем для другого придумали!

1.6, shutdown now (?), 14:26, 17/10/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
apache теперь и сам чрутиться умеет

2.8, A380 (?), 21:49, 17/10/2009 [^] [^^] [^^^] [ответить]	+/–
А если Apache или его конфиг из-за какой-нибудь уязвимости подделают?

1.10, EliteMoly (?), 06:53, 19/10/2009 [ответить] [﹢﹢﹢] [ · · · ]

+/–

"Ставим в chroot apache и все необходимые для его работы зависимости, в итоге получим минимальную систему для работы httpd:

yum --installroot=/home/chroot_web -y install httpd"

А как отработают секции %post %preun в данной случае?

2.11, _umka_ (??), 15:47, 19/10/2009 [^] [^^] [^^^] [ответить]

+/–

>"Ставим в chroot apache и все необходимые для его работы зависимости, в
>итоге получим минимальную систему для работы httpd:
>
> yum --installroot=/home/chroot_web -y install httpd"
>
>А как отработают секции %post %preun в данной случае?

%post правильно
%pre[un] - нет

что бы правильно все отработало нужно chroot yum ....

3.12, _umka_ (??), 16:03, 19/10/2009 [^] [^^] [^^^] [ответить]

+/–

>[оверквотинг удален]
>>итоге получим минимальную систему для работы httpd:
>>
>> yum --installroot=/home/chroot_web -y install httpd"
>>
>>А как отработают секции %post %preun в данной случае?
>
>%post правильно
>%pre[un] - нет
>
>что бы правильно все отработало нужно chroot yum ....

но это скорее тянет на баг в rpmlib - оно не делает chroot в pre стадии.

1.13, Аноним (-), 08:48, 20/10/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кстати, еще есть febootstrap, можно им воспользоваться для создания виртуального окружения.

игнорирование участников | лог модерирования

Добавить комментарий