jail/chroot で仮想鯖

専用鯖と共用鯖の中間としての仮想鯖。
どうですか？
IIJ は VMware ESX で同じようなことをやるらしいですが、
jail/chroot のほうが安くて軽くてイイ感じ。

ご自由にどうぞ。

2ゲット！

セキュリティとかどおよ。
いかにも穴がありそうなんだけど。

ほんとに脱獄不可能な牢獄なのか？

>>1
昨日行ってきたね。
Linux で jail ってできるんだっけ?

もう少し詳しく話してください？意味がわかりません

Linux的にはこっちっしょ。
http://user-mode-linux.sourceforge.net/
http://www.digitalinfra.co.jp/uml/index.html

>>3
セキュリティホールなんてあったらanonymous-ftpサーバとかで大変なことになっ
てると思うが。まぁ確かに以前はシンボリックリンクで外が見えちゃったりしてた
あったけど。

>>4
> 昨日行ってきたね
jailに？
刑期はどれぐらいだったの？

http://www.networld.co.jp/seminar/vmconf.htm

世界ではじめて開催される大規模なVMware Conference。
このたびのカンファレンスでは、米国VMware社CEO兼社長のダイアン・グリーン女史、
チーフ・サイエンティストのメンデル・ローゼンブラム博士らが来日。
それぞれ同社の戦略と「バーチャルマシン、その過去、現在そして未来」と題した基調講演を行います。
また、国内のユーザ様による導入事例や展示による最新のVMware情報もご紹介いたします。

主催：株式会社ネットワールド
特別協賛：米国VMware社
協賛：マイクロソフト株式会社、コンパックコンピュータ株式会社
協力：日経ＢＰ製品技術研究センター
参加費：無料

開催日時
4月18日（木）11：00〜 （受付開始　10：30）

17:00〜17:30 ユーザ様事例(3)「サービス・プロバイダにおけるESX Serverの可能性」
(株)インターネットイニシアティブ
技術本部　システム技術部　主任　白崎博生 氏
初期バージョンより国内にVMwareの技術を紹介され、最近ではUNIXマガジンにESX Serverの技術評価記事を執筆されましたが、今回は、ISPにおけるVMware ESX Sevrerの可能性をご説明いただけます。

jail って jail(2)? あれは FreeBSD にしかないような。

きちんとしてないと chroot も絶対ではないので気を抜かないように。
http://www.bpfh.net/simes/computing/chroot-break.html

ftp や bind の実行ならともかく、
１が考えてるのは、ようは、
いまなら sakura や AT-link がやっている、
一台のマシンまるごとレンタル、とかなんじゃないのか？
それをもっと安くあげたい、と。

だったら、VMware ESX しかないとおもわれ。

＞ＶＭｗａｒｅ　ＥＳＸ　Ｓｅｒｖｅｒ
　　　　　　　　 ↑ここでCtrl-t

Linux Users ML で流れてた。

ネーミングがオブジェクト指向のやつと
紛らわしくていやだが、
これどおよ。
ちゃんとうごいたぜ。

> Linux的にはこっちっしょ。
> http://user-mode-linux.sourceforge.net/
> http://www.digitalinfra.co.jp/uml/index.html

やってみた。
あっさり動いた。動作も軽い。
驚いたけど、これ、VMじゃないんだね。
単なるスレッドなんだ・・・道理で軽いわけだ。
でも、完璧に仮想Linuxだよな。どうなってるんだろ。

IIJって、本当にESXでレン鯖やるの？
面白そうだけど、可能なのかな？
講演いった人、感想きぼーん。

http://www.freevsd.org/
これとかどうよ？

>>14
特に予定があるわけではない、って言ってた。
むしろ「VMWare でやるのはきびしそう」って論調だった。

>>17
なぜ？
あれつくった
ローゼンブラムって、スタンフォードでフタッシュとかいう
超大規模並列マシンをエミュにする、、というプロジェクトやってた
やつでしょ。
あれだけの実績と才能の持ち主の作品なら、使えると思えるのだが。

＞フタッシュ？
フラッシュではないのかと思われ・・・。
http://www-flash.stanford.edu/

jail のセキュリティについてもっと聞きたい。

ユーザごとにchroot 使ってさ、CGI を安全に実行するのはどーやるの？
すべてのCGIをひとつのchroot 環境で動かす例は見つかったんだけど、
ユーザごとに chroot 環境を切る例は見つからないんだよな。

>>20
sbox
http://stein.cshl.org/~lstein/sbox/

それ見つけました。
ただ、疑問なのが、mod_sbox じゃなくて、main() つきの sbox.exe
なんですよね。(msdos 風にいえば）。
すべてのCGIの立ち上げが sbox 経由じゃないと無意味なはずなのに、、、。
sbox 使わずに、じかでCGI使うユーザがいたらどうするんでしょうか？
mod_rewrite で cgi-bin/ をsbox 経由に書き換えるのかな？

>>22
Rewrite-rule tricks ってとこにそれっぽいのが。

VM割れ重いよ。

IIJのはVMWareじゃないよ。
Spheraつー会社のHosting Directorつー製品だよ。

ttp://pc.2ch.net/test/read.cgi/perl/1002776158/

相互リンク

http://pc.2ch.net/test/read.cgi/perl/1002776158/
2ch 内部のリンクを隠す必要性はないだろ？

http://www.watch.impress.co.jp/internet/www/article/2002/0430/vps.htm
これどうよ。今はQ系だけど。旧べりおだし。

2ちゃんねる外部へのリンクでもime.nuが途中に入るから直リンでも
平気だと思います。たぶん。

www.yahoo.co.jp

>>1
ＩＩＪがＶＭでホスティングやってると思ったら
実態は全くのベツモノということが判明して、それ以来
スレ進行が止まったという情けないスレはここですね。

>>12 九州の田舎会社が何をやってんだ？

>>13 あんた、>>12 だろ。短時間で chroot 載せれるんだったらある程度理解
できるよな。
> 完璧に仮想Linuxだよな。どうなってるんだろ
なんて書いて、自分んとこの有限会社へ誘導ですか？お笑いですね。

>>30
言うなら>>12じゃなくて>>6だろ？
おまえって本当にヴァカだな。お笑いですね。

FreeBSD jailで商用サービスはじめているところもありますな。
VERIOのVPSとか。日本では http://vps.rapidsite.jp/ がリテールしてる。

User-Mode-Linuxのも探せばありそう。

http://www.delahost.com/
http://www.kk-net.ne.jp/

もFreeBSD jailみたい。U-M-Lの情報もキボン。

>>30
IIJ のは VMWare ではないが、まぎれもなく VM を構築するソフトウェアを
使ってホスティングをやってますが。おまえこそヴァカ？

サーバの仮想化技術とビジネス展開の可能性

ttp://www.atmarkit.co.jp/flinux/special/vserver/vserver01.html

菊池 宏（[email protected]）
有限会社デジタルインフラ（http://www.digitalinfra.co.jp/）

よかったね菊地くん、東工大出てやっと花が咲いたね。

スレを乱立した甲斐があったもんだね。

user mode linux 使いたいんだけど、カーネルパニックで動かねーよ。

linux ubd0=rh72.cow, root_fs.rh72.pristine eth0=tuntap,,,192.168.0.100

で起動して、
------------------------------------------------
set_umid - mkstemp failed, errno = 13

中略

end_request: I/O error, dev 62:00 (User-mode block device), sector 64
isofs_read_super: bread failed, dev=62:00, iso_blknum=16, block=32
do_io - lseek failed : errno = 9
end_request: I/O error, dev 62:00 (User-mode block device), sector 0
Kernel panic: VFS: Unable to mount root fs on 62:00
------------------------------------------------

とか言われる。デジタルインフラの人見てたら教えて下され。
あと、この状態になると^Cが効かないので別端末で
killall -9 linux
とか面倒くさいことになるんスよ。
Vineでkernel-2.4.18　

http://www.atmarkit.co.jp/flinux/special/vserver/vserver01.html
http://www.atmarkit.co.jp/flinux/special/uml/uml01.html
とくに@ITの記事はかなり詳しくて良いかと思われる。
(UML俺も使いたいのだが。なぜかファイルイメージのダウンロード後の使い方がわからん、、、
わかるやつ教えてくれ。ちなみに俺がダウしたのはroot_fs.md-8.2-anonsrv.pristine.20020324.bz2
と言うやつなんだが。。。doうすればいい？)

>>37
俺もそのカキコ見て初めて試してみたクチだから、勘違いしてたらすまんが、
linux udb0=rh72.cow,root_fs.rh72.pristine なんじゃないの?
COW ファイルと fs イメージの間にスペース入れちゃ駄目。

>>38
俺がダウンしたのと同じやつだ。
user_mode_linux-2.4.18.26um-0.rpm はインスコ済だよな。
bunzip2 で回答したあと、
linux udb0=root_fs.md-8.2-anonsrv.pristine
だよ。これだけでとりあえず遊べるよ。

chroot なんかは library と / を別にするだけで、
kernel は同じじゃなかったの?

おおー、あっさり動いた。>>39サンスコ。
でも　root_fs_debian2.2_small　だと
usermode:~# /sbin/ifconfig eth0 192.168.0.101
* insmod tun
insmod: tun: no module by that name found
とか言われてネットワークつながらん。
仮想ネットワーク動くとこまでできた人いるかい？

>>40
> >>38
> 俺がダウンしたのと同じやつだ。
> user_mode_linux-2.4.18.26um-0.rpm はインスコ済だよな。
> bunzip2 で回答したあと、
> linux udb0=root_fs.md-8.2-anonsrv.pristine
> だよ。これだけでとりあえず遊べるよ。

簡単に動いたありがと。

UML起動できたのだが、起動時のオプションでUMLで私用できるメモリの容量の設定とか
mount point /の容量の設定はできないものか？？
イメージファイルにfullの奴を使ってみたのだがdfしてみたところ
UML状での空き容量が4.8MBだけになっている。。。

[root@nml root]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/ubd/0 541M 509M 4.8M 100% /

>>44
情報キボンヌ

>>44
メモリは mem= で設定できる。
ファイルシステムのほうは設定できない。
削除して空けるか、ubd1= でもいっこ指定しろや。

>>45
了解。早速試してみまする。

7月号の日経リナックスにも菊池タンの記事があったけど
それによるとUMLのカーネル空間は保護されないらしいぜ(ﾟ∀ﾟ)ｱﾋｬ

@ITの記事ではjailに比べてUMLの方が安全みたいなことを
書いてたけど

どっちが━(ﾟ∀ﾟ)( ﾟ∀)( 　ﾟ)( 　 )(ﾟ 　)(∀ﾟ )(ﾟ∀ﾟ)━本当？

>>48
比べるのもどうかと思うけど、UML にも jail オプションてのがあるよ。
カーネルメモリをプロセスから保護するってさ。

>>49 サンクスコ！
でもjailオプションでのカーネルメモリ保護って
http://user-mode-linux.sourceforge.net/slides/ists2002/img5.htm
これを見ると書き込み保護だけのようにみえるYO！

わらすの英語力だと、安全だと書いているように見えるけど
カーネルメモリってユーザプロセスから読めても安全なんだっけ？

>>46
> >>44
> メモリは mem= で設定できる。
> ファイルシステムのほうは設定できない。
> 削除して空けるか、ubd1= でもいっこ指定しろや。
わからんぞ。。。。ubd1=でしていって、どうするんじゃい。

ubd1 だとスワップになっちまうな。
要はもう一個パーティション作ってあげてそっちに移せば? て事。

仮想ネットワーク動いてる人さー、どーゆーことやって遊んでる？

>>38
友達にルート権限あげて、遊んでもらってたりする。
後、一回だけ自分のさいとに
「以下のアドレスのマシンをクラックできますか？」
見たいな感じで。
おれがやったのはFTPのアカウントとテルネットでふつうのユーザーグループで一つだけ公開して
そこからクラックしてもらうっていうテスト風にしたんだけど。
あーそうだ。あとウェブページのアカウントも発行してみたりもした。
一番トライ数が多かったのは発行したウェブアカウントにCGIをあげて
いろいろと試してる人がたくさんいました。
じっさいひとり、自分でつくったスクリプトでアパッチをとめたやつがいた。

まーウMLたちあげても設定等面倒だから何もしてないぬけぬけのじょうたいだったけど。

ちなみにねたじゃないっすので。

>>53
debianのイメージでも仮想ネットワーク動いたよ。

もう解決してるかもしれないけど、あのエラーからいって、
ホスト側Linuxの設定でTUN/TAPが使えるようにしてないんじゃないかな。

漏れは /usr と /var を別のディスクイメージをマウントするようにして、
とりあえずsidにした。

ほんと、各プロセスが見えるのね。なかなかおもしろい。
apache2とtomcat4を動かしてみてるけど、
スレッド数が多くてpsの出力がすごい。

Virtual Consoleのxtermを開かないようにするには、どうしたら良いんですかね？
inittabでgettyの数を一つだけにしてるんですけど、どうしても出てきてしまいます。
そのVirtual Consoleは窓だけで実際には使えないんだけど。
kernelでvirtual console殺せば良いのかな。

root_fs.rh-7.2-full.pristine.20020312　を使用。
crw-rw-rw- 1 root hoge 10, 200 6月 12 13:28 /dev/net/tun
の状態にして、ネットマスクとかの設定をLANと同じにしてLAN内に重ならないIPを
振ったらネットワーク動くところまで行きました。んが、これだけではつまらん。
おいらはホストOSを仮想ルータにしてNATかけてとかやってネットワークのお勉強を
したいのです。実機だと金かかっから・・・・
ホストOSをNATにしたいときはなにか設定必要？それとも実機で稼動させるときと同じ
設定を仮想インターフェースに設定すれば動くのかしらん。

>>55
tomcatってふつーに動かしてもスレッド数多くてウザいよね。tomcat3だとserver.xmlか
なんかで待ち受けスレッド数を制限できたけど、4もできるんじゃないでしょうか

>>54
セキュリティの研究にもってこいですな。
ところで今思ったのだが、nice　-19　linux　でプロセスの優先順位を下げた状態で起動すると、
ゲストOSのプロセスはみんな優先度低い状態になんのかな。サービスが高負荷になる
ことでOSがフリーズするよーな状況を回避することができたらいいんですが。

ごめんオレ38で書き込みしてたけどスレ読み返したら36・37ですた。

http://www.atmarkit.co.jp/fjava/devs/01fivemin/fivemin00.html
あほくさい。。。

>>53
UMLとzebraでルーティングの勉強ができます．
PIII 800MHz+256M　１台で１０ルータのシミュレーションは余裕でできるので，
PC２台使って２０ルータ使ってBGPとかOSPFの学習にはいいと思う．
UMLの仮想ネットワークはスグレモノで，いくらでもつくれます．
（VMWareなどは，８個まで，だったかな？）
また，PC間の仮想ネットワークどうしも自由につなげます．
PC10台で，最新PC+メモリ積めるだけ，を使えば，ルータ３００個くらいできそう
かな？ここまでやったことないけど．

それより，設定が大変だな．

>>60
設定も大変だろうが、それよりもそれだけたくさん仮想ネットワーク
立ち上げちゃうと頭が悪い俺だとこんがらがってわけ分からなくなっちゃう。
さげ。

>>60
でもさ、MAC アドレスは全部同じなんだろ。
すっげー低いレイヤーで矛盾が生じるんだけどさ、その辺りの改善案あるの？

UMLの仮想ネットワークは優れもの？ちゃうんちゃうか。
ルータ３００個無理だろ。ルーティングの勉強するんだったら、PC3台で
しとけよ。なんかさ、UML幻想病かなんか知らんけど、すっげー勘違いしてんじゃねーか？(w

>>60
ついでに、ルーティングの勉強じゃなくてトポロジ構成の勉強ならなー。
ルーティング切り方わからんような厨房は rip でも流しておけよ。
PC3台（真中はNIC２枚。デュアルゲートウェイ）でじゅうぶん。

UMLがどうした？何か逝ってみろよ、ゴルァ！！！！！

PCでるーたつくると金がかかる！

なんてね。

なぜ>>63がブチ切れてるのか誰か解説してくれ

>>62
スグレモノかどうかはしらないけど、とりあえず UML の起動パラメータで MAC を変更するくらいは可能ですよ。

久しぶりに来たのであげるよ

age

すいません、自分、rapidsiteのバーチャルサーバプランってものを申し込んで、
そのあとでJailというものを使っているらしいということを知ったのですが
（Jail使ってるの？ユーザサポートさんに尋ねても、教えていただけませんでしたが）
Jailに関するマニュアルはサイトというのはどこにあるのでしょうか？

>>69
何が知りたいの?

仮想OS「User Mode Linux」活用法
http://www.atmarkit.co.jp/flinux/special/uml/uml01.html

vserverはどうかな
http://www.solucorp.qc.ca/miscprj/s_context.hc

age

umlつかってると、外側の/パーティションが消費されてしまうみたい。
これ回避できないかなぁ。。

>>74
そんな事は無かろう。
設定ミスか、あるいは COW ファイルが / に出来てるか。

UMLが取り込まれたようだ。

http://kerneltrap.org/node.php?id=409

私は、debianのumlのパッケージをそのまま使ってるんだけど、
最近やっとtomcat4が動くようになったみたい。tomcat3は駄目みたいだけど。
前はantも動かなかった。javaが死んでた。簡単なのは動いたんだけど。
HotSpotVM関係でなんかある(あった)みたい。

Linux-2.5.35にUserModeLinuxがmergeあげ
#コンパイルできんけど

日本で、FreeBSD jail　な仮想鯖を使えるレンタルサーバ業者は、

●http://rapidsite.jp (VPSプラン）
初期費用：10000円、月額費用は、,8500円 16,800円 29,800円 の３種類

●http://www.delahost.com/ （Plus+ 400xプラン）
初期費用：12000円、月額費用19000円）

の２つだけですか？他にもあります？

kk-net は、仮想ルート権限って言葉が書いてなくて、よくわからなかった。

ふむ。このすれ懐かし。

>>79
だれか、答えてくらさい

>>79
レンタル鯖
http://pc.2ch.net/perl/

>>82
ども。そですね。逝ってきます。

>>79
日本で、FreeBSD jail　な仮想鯖を使えるレンタルサーバ業者は
ここによると
http://www.rentalserver.org/ja/ml/rs-talk/archive/200105.month/257.html

RapidSite
http://www.rapidsite.co.jp/
Delahost
http://www.delahost.com/
KK-NET
http://www.kk-net.ne.jp/

この中で、国内にサーバーを置いているのはKK-NETだけです。らしいよ。

さがしたら
http://www.kk-net.ne.jp/virtual/150/index.html
にバーチャルrootってあるから仮想ルート権限ってことじゃないかな。

久しぶりに来たのであげるよん

ラピッドサイトユーザいる？

IP記録実験
http://qb.2ch.net/test/read.cgi/accuse/1042013605/

1 名前：ひろゆき ◆3SHRUNYAXA ＠どうやら管理人 ★ 投稿日：03/01/08 17:13 ID:???
そんなわけで、qbサーバでIPの記録実験をはじめましたー。

27 名前：心得をよく読みましょう 投稿日：03/01/08 17:20 ID:yL/kYdMc
SETTING.TXT管轄でないということは全鯖導入を視野に、か？

38 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:22 ID:rLfxQ17l
>>27
鋭いです。

73 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:27 ID:rLfxQ17l
＞ところで、IPが抜かれて何か今までと変わることってあるのでしょうか？
・今までより、サーバが重くなる。
・裁判所や警察からの照会があった場合にはIPを提出することがある。

>>571
j-comいつやめる？
どうしようか考えてるんだけど

>>226

3日で業者のエロいコピペで埋まるのがオチ

さぁ、地下に潜るか。

ふたば☆ちゃんねる
http://img.2chan.net/ 　　　　　　　　
　　　　　　　

（＾＾）

?

Linux Secure Virtual Hosting Extension
ttp://home.att.ne.jp/theta/yasunori/linux/Linux-SVH/linux-svh.html

これでやれるらしいんだけど、試した人居る？

　　　______________
　／:＼.＿＿＿_＼
　|:￣＼(∩´∀｀)　＼　　＜先生！こんなのがありました！
　|:在　 |:￣￣ U￣:|
http://saitama.gasuki.com/mona/

てｓってｓｔ」

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

あげ

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

http://www.webjp.ne.jp/　の VPS も jail？

Sandbox System Call API for Linux
http://sandbox.sourceforge.net/

これってどうよ?

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

age

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

UML がカーネルに追加
http://japan.internet.com/linuxtutorial/20030425/1.html

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

あげ

http://www.cl.cam.ac.uk/Research/SRG/netos/xen/