Forum Linux.général Confiner un processus

Posté par Yakulu le 24 mai 2010 à 15:13.

Étiquettes :

mai

2010

Bonjour à tous,

Je recherche une solution simple et efficace pour confiner des processus. Idéalement, la solution, en dehors de l'isolation, permettrait :

une consommation de ressources supplémentaires faible
une administration aisée
éventuellement de pouvoir limité le processus en termes de consommation, mémoire, disque, cpu

Étant donné que mes besoins sont assez légers - en gros isoler un serveur Web, un serveur de base de données... - j'aurais tendance à disqualifier Xen et autres KVM. J'ai ainsi retenu :

Le chroot, qui par défaut n'apporte pas grand chose en termes de sécurité, mais le chroot patché via GRSecurity, qu'en pensez-vous ?
Les outils de contrôle d'accès, comme SELinux ou TOMOYO, pourraient-ils être suffisants ?
L'isolation lourde, c'est à dire par VServer ou OpenVZ. En termes de limites, cela me semble parfait. Cependant, le système de base est dupliqué, non partagé et donc à administrer spécifiquement.
Directement embarqué dans le noyau, il y a LGuest, un hyperviseur simple que j'ai découvert dans GLMF de novembre dernier. L'atout est sa nativité mais il s'agit d'un hyperviseur, comme KVM, ce qui me parait lourd dans mon cas.

Que me conseilleriez-vous ?

# chroot, grsec / uml / vserver, cow

Posté par nono14 (site web personnel) le 24 mai 2010 à 17:15. Évalué à 4.

J'utilise bind9 en chroot + grsec depuis 7ans => ras

J'ai aussi tester uml ( 1 seule instance ).

De mémoire Vserver supporte le Copy On Write, c-a-d les ecritures se font dans un fichier séparé. On a donc une base en ( read-only) + les données ecrites par chaque instance dans un fichier spécifique.

Mes 2cts.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
# Ancien journal d'Aefron, comparant OpenVZ et VServer

Posté par fero14041 le 24 mai 2010 à 19:00. Évalué à 2.

Juste pour signaler un ancien journal (merci Google) d'Aefron (22 octobre 2008)
comparant OpenVZ et VServer:
"Debian, VServer & OpenVZ : les conteneurs" [1]

[1] http://linuxfr.org/~Aefron/27379.html
# un processus = un utilisateur

Posté par Stéphane Gully (site web personnel) le 24 mai 2010 à 19:59. Évalué à 2.

Tu peux regarder pkgi (http://pkgi.net) ça permet de d'isoler des demons (apache, mysql, ...) dans un utilisateur unix. Pratique car un utilisateur unix = 1 répertoire = une application et c'est beaucoup moins lourd qu'un serveur virtuel.
Par contre, c'est écrit pour fonctionner sur un serveur debian ou ubuntu.
# sandbox & SELinux

Posté par Matthieu Moy (site web personnel) le 25 mai 2010 à 00:15. Évalué à 2.

Jamais utilisé, mais l'outil « sandbox » qui va avec SELinux devrait répondre à la question d'après ce qu'on peut lire dessus sur le net.
# un utilisateur et pam_limits

Posté par Krunch (site web personnel) le 25 mai 2010 à 16:09. Évalué à 2.

adduser(8)
pam_limits(8)
limits.conf(5)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Merci

Posté par Yakulu le 26 mai 2010 à 09:53. Évalué à 2.

Merci à tous pour l'ensemble des solutions évoquées. Je vais regarder tout ça de plus près avant d'opter pour l'une ou pour l'autre.
# Il y a également LXC

Posté par fero14041 le 28 mai 2010 à 20:18. Évalué à 1.

Il y a également LXC: les "Linux Containers" [1] (découverts via le wiki Debian [2] [3]).
On peut trouver un tutoriel détaillé chez "Artisan numérique" [4]
(jeter peut-être aussi un coup d'œil à sa catégorie "virtualisation" [5]? où sont abordés notamment 'chroot', 'VMWare' et 'VirtualBox').

[1] http://lxc.sourceforge.net/
[2] http://wiki.debian.org/SystemVirtualization
[3] http://wiki.debian.org/LXC
[4] http://artisan.karma-lab.net/node/1749
[5] http://artisan.karma-lab.net/taxonomy/term/1181

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.