diff options
author | Gabor Kovesdan <gabor@FreeBSD.org> | 2012-08-20 21:53:53 +0000 |
---|---|---|
committer | Gabor Kovesdan <gabor@FreeBSD.org> | 2012-08-20 21:53:53 +0000 |
commit | 0a9f3a925e78c31f5359cb0120a588b2fa1c8138 (patch) | |
tree | c102db602e47aee314ca48021bb126fc5bb3de09 /de_DE.ISO8859-1/books/handbook/jails | |
parent | b92ed28d928c5247d0de6f44a849b71f1f18132c (diff) | |
download | doc-0a9f3a925e78c31f5359cb0120a588b2fa1c8138.tar.gz doc-0a9f3a925e78c31f5359cb0120a588b2fa1c8138.zip |
- Expand character entities in the German documentation
Approved by: doceng (implicit)
Notes
Notes:
svn path=/projects/sgml2xml/; revision=39404
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/jails')
-rw-r--r-- | de_DE.ISO8859-1/books/handbook/jails/chapter.sgml | 360 |
1 files changed, 180 insertions, 180 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/jails/chapter.sgml b/de_DE.ISO8859-1/books/handbook/jails/chapter.sgml index 1e7f6b00cd..a1a15a1fc2 100644 --- a/de_DE.ISO8859-1/books/handbook/jails/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/jails/chapter.sgml @@ -20,7 +20,7 @@ <author> <firstname>Oliver</firstname> <surname>Peter</surname> - <contrib>Übersetzt von </contrib> + <contrib>Übersetzt von </contrib> </author> <author> <firstname>Dirk</firstname> @@ -38,26 +38,26 @@ <indexterm><primary>jails</primary></indexterm> <sect1 id="jails-synopsis"> - <title>Übersicht</title> + <title>Übersicht</title> - <para>Dieses Kapitel erklärt, was &os;-Jails sind und wie man sie - einsetzt. Jails, manchmal als Ersatz für + <para>Dieses Kapitel erklärt, was &os;-Jails sind und wie man sie + einsetzt. Jails, manchmal als Ersatz für <emphasis>chroot-Umgebungen</emphasis> bezeichnet, sind ein sehr - mächtiges Werkzeug für Systemadministratoren, jedoch kann - deren grundlegende Verwendung auch für fortgeschrittene Anwender - nützlich sein.</para> + mächtiges Werkzeug für Systemadministratoren, jedoch kann + deren grundlegende Verwendung auch für fortgeschrittene Anwender + nützlich sein.</para> <para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie</para> <itemizedlist> <listitem> <para>Wissen, was eine Jail ist und welche Verwendungszwecke - es dafür unter &os; gibt.</para> + es dafür unter &os; gibt.</para> </listitem> <listitem> <para>Wissen, wie man eine Jail erstellt, startet und - und anhält.</para> + und anhält.</para> </listitem> <listitem> @@ -66,13 +66,13 @@ </listitem> </itemizedlist> - <para>Weitere nützliche Informationen über Jails + <para>Weitere nützliche Informationen über Jails sind beispielsweise in folgenden Quellen zu finden:</para> <itemizedlist> <listitem> <para>Der &man.jail.8; Manualpage. Diese umfassende Referenz - beschreibt, wie man unter &os; eine Jail startet, anhält + beschreibt, wie man unter &os; eine Jail startet, anhält und kontrolliert.</para> </listitem> @@ -91,10 +91,10 @@ <sect1 id="jails-terms"> <title>Jails - Definitionen</title> - <para>Um die für den Einsatz von Jails benötigten + <para>Um die für den Einsatz von Jails benötigten FreeBSD-Funktionen, deren Interna sowie die Art und Weise, mit der diese mit anderen Teilen des Betriebssystems interagieren, zu - erläutern, werden in diesem Kapitel folgende Definitionen + erläutern, werden in diesem Kapitel folgende Definitionen verwendet:</para> <variablelist> @@ -103,7 +103,7 @@ <listitem> <para>Ein Werkzeug, das den &os;-Systemaufruf &man.chroot.2; verwendet, um das Wurzelverzeichnis eines Prozesses und all - seiner Nachkömmlinge zu ändern.</para> + seiner Nachkömmlinge zu ändern.</para> </listitem> </varlistentry> @@ -111,9 +111,9 @@ <term>&man.chroot.2; (-Umgebung)</term> <listitem> <para>Die Umgebung eines Prozesses, der in einem - <quote>chroot</quote> läuft. Diese beinhaltet + <quote>chroot</quote> läuft. Diese beinhaltet Ressourcen, wie zum Beispiel sichtbare Abschnitte - des Dateisystems, verfügbare Benutzer- und + des Dateisystems, verfügbare Benutzer- und Gruppenkennungen, Netzwerkschnittstellen und weitere IPC-Mechanismen und so weiter.</para> </listitem> @@ -131,13 +131,13 @@ <term>Host (-Benutzer, -Prozess, -System)</term> <listitem> <para>Das verwaltende System einer Jail-Umgebung. Das - Host-System hat Zugriff auf alle verfügbaren + Host-System hat Zugriff auf alle verfügbaren Hardwareressourcen und kann sowohl innerhalb als auch ausserhalb der Jail-Umgebung Prozesse steuern. Einer der wichtigsten Unterschiede des Host-System einer Jails ist, - dass die Einschränkungen, welche für die + dass die Einschränkungen, welche für die Superuser-Prozesse innerhalb eines Jails gelten, nicht - für die Prozesse des Host-Systems gelten.</para> + für die Prozesse des Host-Systems gelten.</para> </listitem> </varlistentry> @@ -145,7 +145,7 @@ <term>Gast (-Benutzer, -Prozess, -System)</term> <listitem> <para>Ein Prozess, ein Benutzer oder eine andere Instanz, - deren Zugriff durch eine &os;-Jail eingeschränkt + deren Zugriff durch eine &os;-Jail eingeschränkt ist.</para> </listitem> </varlistentry> @@ -153,60 +153,60 @@ </sect1> <sect1 id="jails-intro"> - <title>Einführung</title> + <title>Einführung</title> <para>Da die Systemadministration oft eine schwierige Aufgabe ist, - wurden viele mächtige Werkzeuge entwickelt, die + wurden viele mächtige Werkzeuge entwickelt, die Administratoren bei Installation, Konfiguration und Wartung ihrer - Systeme unterstützen sollen. Eine wichtige Aufgabe eines + Systeme unterstützen sollen. Eine wichtige Aufgabe eines Administrators ist es, Systeme so abzusichern, dass es im - regulären Betrieb zu keinen Sicherheitsverstößen + regulären Betrieb zu keinen Sicherheitsverstößen kommt.</para> <para>Eines der Werkzeuge, mit dem die Sicherheit eines &os;-Systems verbessert werden kann, sind Jails. Jails wurden schon in - &os; 4.X von &a.phk; eingeführt, wurden jedoch mit + &os; 4.X von &a.phk; eingeführt, wurden jedoch mit &os; 5.X stark verbessert, sodass sie inzwischen zu einem - mächtigen und flexiblen Subsystem herangereift sind. Trotzdem + mächtigen und flexiblen Subsystem herangereift sind. Trotzdem geht die Entwicklung nach wie vor weiter. Wichtige Ziele sind - derzeit: Bessere Zweckmäßigkeit, Leistung, + derzeit: Bessere Zweckmäßigkeit, Leistung, Ausfallsicherheit und allgemeine Sicherheit.</para> <sect2 id="jails-what"> <title>Was ist eine Jail?</title> - <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten + <para>BSD-ähnliche Betriebssysteme besitzen seit den Zeiten von 4.2BSD &man.chroot.2;. Das Werkzeug &man.chroot.2; kann dazu benutzt werden, das root-Verzeichnis einer Reihe von Prozessen - zu ändern, um so eine seperate sichere Umgebung (abgeschnitten + zu ändern, um so eine seperate sichere Umgebung (abgeschnitten vom Rest des Systems) zu schaffen. Prozesse, die in einer - chroot-Umgebung erstellt wurden, können nicht auf Dateien + chroot-Umgebung erstellt wurden, können nicht auf Dateien oder Ressourcen zugreifen, die sich ausserhalb der Umgebung befinden. Dadurch ist es einem kompromittierten Dienst nicht - möglich, das gesamte System zu kompromittieren. - &man.chroot.8; eignet sich für einfache Aufgaben, die keine + möglich, das gesamte System zu kompromittieren. + &man.chroot.8; eignet sich für einfache Aufgaben, die keine flexiblen, komplexen oder fortgeschrittenen Funktionen - benötigen. Obwohl seit der Entwicklung des chroot-Konzepts - zahlreiche Sicherheitslöcher geschlossen wurden, die es + benötigen. Obwohl seit der Entwicklung des chroot-Konzepts + zahlreiche Sicherheitslöcher geschlossen wurden, die es einem Prozess erlauben konnten, aus einer Jail auszubrechen, war seit langer Zeit klar, dass &man.chroot.2; nicht die ideale - Lösung ist, einen Dienst sicher zu machen.</para> + Lösung ist, einen Dienst sicher zu machen.</para> - <para>Dies ist einer der Hauptgründe, warum + <para>Dies ist einer der Hauptgründe, warum <emphasis>Jails</emphasis> entwickelt wurden.</para> <para>Jails setzen auf dem traditionellen &man.chroot.2;-Konzept auf und verbessern es auf unterschiedlichste Art und Weise. In einer traditionellen &man.chroot.2;-Umgebung sind Prozesse auf - den Bereich des Dateisystems beschränkt, auf den sie - zugreifen können. Der Rest der Systemressourcen (wie zum + den Bereich des Dateisystems beschränkt, auf den sie + zugreifen können. Der Rest der Systemressourcen (wie zum Beispiel eine Reihe von Systembenutzern, die laufenden Prozesse oder das Netzwerk-Subsystem) teilen sich die chroot-Prozesse mit dem Host-System. Jails dehnen dieses Modell nicht nur auf die Virtualisierung des Zugriffs auf das Dateisystem, sondern auch auf eine Reihe von Benutzern, das Netzwerk-Subsystem des - &os;-Kernels und weitere Bereiche aus. Eine ausführlichere - Übersicht der ausgefeilten Bedienelemente zur Konfiguration + &os;-Kernels und weitere Bereiche aus. Eine ausführlichere + Übersicht der ausgefeilten Bedienelemente zur Konfiguration einer Jail-Umgebung finden Sie im Abschnitt <xref linkend="jails-tuning"/> des Handbuchs.</para> @@ -214,9 +214,9 @@ <itemizedlist> <listitem> - <para>Einen Unterverzeichnisbaum, der die Jail enthält. - Einem Prozess, der innerhalb der Jail läuft, ist es - nicht mehr möglich, aus diesem auszubrechen. Von + <para>Einen Unterverzeichnisbaum, der die Jail enthält. + Einem Prozess, der innerhalb der Jail läuft, ist es + nicht mehr möglich, aus diesem auszubrechen. Von der traditionellen &man.chroot.2;-Umgebung bekannte Sicherheitsprobleme existieren bei &os;-Jails nicht mehr.</para> @@ -225,23 +225,23 @@ <listitem> <para>Einen Hostname, der innerhalb der Jail verwendet wird. Jails werden vor allem dazu verwendet, Netzwerkdienste - anzubieten, daher ist es für Systemadministratoren - von großem Nutzen, dass jede Jail einen beschreibenden + anzubieten, daher ist es für Systemadministratoren + von großem Nutzen, dass jede Jail einen beschreibenden Hostname haben kann.</para> </listitem> <listitem> <para>Eine <acronym>IP</acronym> Adresse, die der Jail - zugewiesen wird und nicht verändert werden kann, - solange das Jail läuft. Die IP-Adresse einer Jails - ist üblicherweise ein Adress-Alias auf eine + zugewiesen wird und nicht verändert werden kann, + solange das Jail läuft. Die IP-Adresse einer Jails + ist üblicherweise ein Adress-Alias auf eine existierende Netzwerkschnittstelle. Dies ist jedoch nicht zwingend erforderlich.</para> </listitem> <listitem> - <para>Einen Befehl (genauer den Pfad einer ausführbaren - Datei) der innerhalb der Jail ausgeführt werden soll. + <para>Einen Befehl (genauer den Pfad einer ausführbaren + Datei) der innerhalb der Jail ausgeführt werden soll. Dieser Pfad wird relativ zum root-Verzeichnis einer Jail-Umgebung angegeben und kann sehr unterschiedlich aussehen (je nachdem, wie die Jail-Umgebung konfiguriert @@ -249,18 +249,18 @@ </listitem> </itemizedlist> - <para>Unabhängig davon können Jails eine Reihe eigener + <para>Unabhängig davon können Jails eine Reihe eigener Benutzer und einen eigenen Benutzer <username>root</username> - haben. Selbstverständlich sind die Rechte des Benutzers + haben. Selbstverständlich sind die Rechte des Benutzers <username>root</username> nur auf die Jail-Umgebung - beschränkt. Aus der Sicht des Host-Systems ist der + beschränkt. Aus der Sicht des Host-Systems ist der Benutzer <username>root</username> der Jail-Umgebung kein - allmächtiger Benutzer, da der Benutzer + allmächtiger Benutzer, da der Benutzer <username>root</username> der Jail-Umgebung nicht dazu berechtigt ist, kritische Operationen am System ausserhalb der - angebundenen &man.jail.8;-Umgebung durchzuführen. - Weitere Informationen über die Einsatzmöglichkeiten - und Beschränkungen des Benutzers <username>root</username> + angebundenen &man.jail.8;-Umgebung durchzuführen. + Weitere Informationen über die Einsatzmöglichkeiten + und Beschränkungen des Benutzers <username>root</username> werden im Abschnitt <xref linkend="jails-tuning"/> des Handbuchs besprochen.</para> </sect2> @@ -271,12 +271,12 @@ <para>Einige Administratoren unterscheiden zwei verschiedene Jail-Arten: <quote>Komplette</quote> Jails, die ein echtes - &os; darstellen und Jails für einen bestimmten + &os; darstellen und Jails für einen bestimmten <quote>Dienst</quote>, die nur einer bestimmten Anwendung - oder einem Dienst (der möglicherweise mit besonderen + oder einem Dienst (der möglicherweise mit besonderen Privilegien laufen soll) gewidmet sind. Dies ist aber nur eine konzeptuelle Unterscheidung, die Einrichtung einer - Jail bleibt davon gänzlich unberührt.</para> + Jail bleibt davon gänzlich unberührt.</para> <screen>&prompt.root; <userinput>setenv D <replaceable>/hier/ist/die/jail</replaceable></userinput> &prompt.root; <userinput>mkdir -p $D</userinput> <co id="jailpath"/> @@ -288,38 +288,38 @@ <calloutlist> <callout arearefs="jailpath"> - <para>Das Festlegen des Installationsorts für das Jail + <para>Das Festlegen des Installationsorts für das Jail eignet sich am besten als Startpunkt. Hier wird sich die Jail innerhalb des Host-Dateisystems befinden. Eine gute - Möglichkeit wäre etwa <filename + Möglichkeit wäre etwa <filename class="directory">/usr/jail/<replaceable>name_der_jail</replaceable></filename>, wobei <replaceable>name_der_jail</replaceable> den Hostname - darstellt, über den die Jail identifiziert werden + darstellt, über den die Jail identifiziert werden soll. Das Dateisystem unterhalb von <filename class="directory">/usr/</filename> stellt normalerweise - aussreichend Platz für eine Jail zur Verfügung + aussreichend Platz für eine Jail zur Verfügung (bedenken Sie, dass eine <quote>komplette</quote> Jail ein Replikat einer jeden Datei der Standardinstallation des - &os;-Basissystems enthält.</para> + &os;-Basissystems enthält.</para> </callout> <callout arearefs="jailbuildworld"> <para>Wenn Sie bereits ihre Systemanwendungen mittels <command>make world</command> oder <command>make buildworld</command> - neu erstellt haben, können Sie diesen Schritt überspringen + neu erstellt haben, können Sie diesen Schritt überspringen und die Systemanwendungen in die neue Jail installieren.</para> </callout> <callout arearefs="jailinstallworld"> <para>Dieser Befehl wird den Verzeichnisbaum mit allen - notwendigen Binärdateien, Bibliotheken, Manualpages + notwendigen Binärdateien, Bibliotheken, Manualpages usw. erstellen.</para> </callout> <callout arearefs="jaildistrib"> <para>Der <maketarget>distribution</maketarget>-Befehl - lässt <application>make</application> alle - benötigten Konfigurationsdateien installieren, es + lässt <application>make</application> alle + benötigten Konfigurationsdateien installieren, es werden also alle installierbaren Dateien aus <filename class="directory">/usr/src/etc/</filename> in das Verzeichnis <filename class="directory">/etc</filename> @@ -328,36 +328,36 @@ </callout> <callout arearefs="jaildevfs"> - <para>Das Einhängen des &man.devfs.8;-Dateisystems + <para>Das Einhängen des &man.devfs.8;-Dateisystems innerhalb der Jail ist nicht unbedingt notwendig. - Allerdings benötigt fast jede Anwendung Zugriff auf - wenigstens ein Gerät. Es ist daher sehr wichtig, + Allerdings benötigt fast jede Anwendung Zugriff auf + wenigstens ein Gerät. Es ist daher sehr wichtig, den Zugriff auf Devices aus der Jail heraus zu kontrollieren, da unsaubere Einstellungen es einem - Angreifer erlauben könnten, in das System einzudringen. - Die Kontrolle über &man.devfs.8; erfolgt durch die in + Angreifer erlauben könnten, in das System einzudringen. + Die Kontrolle über &man.devfs.8; erfolgt durch die in den Manualpages &man.devfs.8; und &man.devfs.conf.5; beschriebenen Regeln.</para> </callout> </calloutlist> <para>Ist eine Jail einmal erst erstellt, kann sie durch - &man.jail.8; gestartet werden. &man.jail.8; benötigt + &man.jail.8; gestartet werden. &man.jail.8; benötigt zwingend mindestens vier Argumente, die im Abschnitt <xref linkend="jails-what"/> des Handbuchs beschrieben sind. Weitere - Argumente sind möglich, um beispielsweise die Jail mit den + Argumente sind möglich, um beispielsweise die Jail mit den Berechtigungen eines bestimmten Benutzers laufen zu lassen. Das Argument <option><replaceable>command</replaceable></option> - hängt vom Typ der Jail ab; für ein <emphasis>virtuelles + hängt vom Typ der Jail ab; für ein <emphasis>virtuelles System</emphasis> ist <filename>/etc/rc</filename> eine gute Wahl, da dies dem Startvorgang eines echten &os;-Systems entspricht. Bei einer <emphasis>Service</emphasis>-Jail - hängt dieses von der Art des Dienstes ab, der in der Jail + hängt dieses von der Art des Dienstes ab, der in der Jail laufen soll.</para> - <para>Jails werden häufig mit dem Betriebssystem gestartet, - da der <filename>rc</filename>-Mechanismus von &os; dafür - eine einfach zu realisierende Möglichkeit bietet.</para> + <para>Jails werden häufig mit dem Betriebssystem gestartet, + da der <filename>rc</filename>-Mechanismus von &os; dafür + eine einfach zu realisierende Möglichkeit bietet.</para> <procedure> <step> @@ -376,7 +376,7 @@ jail_list="<replaceable>www</replaceable>" # Space separated list of names o </step> <step> - <para>Für jede Jail in der <varname>jail_list</varname> + <para>Für jede Jail in der <varname>jail_list</varname> sollten in &man.rc.conf.5; einige Einstellungen vorgenommen werden:</para> @@ -389,13 +389,13 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <para>Beim Start einer in &man.rc.conf.5; konfigurierten Jail wird das <filename>/etc/rc</filename>-Skript der Jail (das "annimmt", dass es sich in einem kompletten System befindet) - aufgerufen. Für Service-Jails sollten die Startskripte + aufgerufen. Für Service-Jails sollten die Startskripte der Jail durch das Setzen der Option <varname>jail_<replaceable>jailname</replaceable>_exec_start</varname> entsprechend angepasst werden.</para> <note> - <para>Eine vollständige Liste der Optionen findet sich + <para>Eine vollständige Liste der Optionen findet sich in der Manualpage zu &man.rc.conf.5;.</para> </note> </step> @@ -412,10 +412,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <para>Es gibt momentan keinen sauberen Weg, eine &man.jail.8; zu stoppen. Dies liegt daran, dass die Kommandos zum sauberen Herunterfahren eines Systems innerhalb einer Jail nicht - ausgeführt werden können. Der beste Weg eine Jail zu + ausgeführt werden können. Der beste Weg eine Jail zu beenden ist es daher, innerhalb der Jail den folgenden Befehl - auszuführen (alternativ können Sie auch &man.jexec.8; - von außerhalb der Jail aufrufen):</para> + auszuführen (alternativ können Sie auch &man.jexec.8; + von außerhalb der Jail aufrufen):</para> <screen>&prompt.root; <userinput>sh /etc/rc.shutdown</userinput></screen> @@ -426,24 +426,24 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <sect1 id="jails-tuning"> <title>Feinabstimmung und Administration</title> - <para>Es gibt verschiedene Optionen, die für jede Jail - gesetzt werden können und verschiedene Wege, ein + <para>Es gibt verschiedene Optionen, die für jede Jail + gesetzt werden können und verschiedene Wege, ein &os;-Host-System mit Jails zu kombinieren. Dieser Abschnitt zeigt Ihnen:</para> <itemizedlist> <listitem> - <para>Einige zur Verfügung stehende Optionen zur + <para>Einige zur Verfügung stehende Optionen zur Abstimmung des Verhaltens und der Sicherheitseinstellungen, - die mit einer Jail-Installation ausgeführt werden - können.</para> + die mit einer Jail-Installation ausgeführt werden + können.</para> </listitem> <listitem> - <para>Einige der Anwendungsprogramme für das - Jail-Management, die über die &os; Ports-Sammlung - verfügbar sind und genutzt werden können, um - Jail-basierte Lösungen allumfassend umzusetzen.</para> + <para>Einige der Anwendungsprogramme für das + Jail-Management, die über die &os; Ports-Sammlung + verfügbar sind und genutzt werden können, um + Jail-basierte Lösungen allumfassend umzusetzen.</para> </listitem> </itemizedlist> @@ -451,13 +451,13 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <title>Systemwerkzeuge zur Feinabstimmung von Jails in &os;</title> <para>Die Feinabstimmung einer Jail-Konfiguration erfolgt zum - Großteil durch das Setzen von &man.sysctl.8;-Variablen. - Es gibt einen speziellen sysctl-Zweig, der als Basis für + Großteil durch das Setzen von &man.sysctl.8;-Variablen. + Es gibt einen speziellen sysctl-Zweig, der als Basis für die Organisation aller relevanten Optionen dient: Die <varname>security.jail.*</varname>-Hierarchie der - &os;-Kerneloptionen. Die folgende Liste enthält alle + &os;-Kerneloptionen. Die folgende Liste enthält alle jail-bezogenen sysctls (inklusiver ihrer Voreinstellungen). - Die Namen sollten selbsterklärend sein, für + Die Namen sollten selbsterklärend sein, für weitergehende Informationen lesen Sie bitte die Manualpages &man.jail.8; und &man.sysctl.8;.</para> @@ -497,12 +497,12 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </listitem> </itemizedlist> - <para>Diese Variablen können vom Administrator des + <para>Diese Variablen können vom Administrator des <emphasis>Host-Systems</emphasis> genutzt werden, um - Beschränkungen hinzuzufügen oder aufzuheben, die dem + Beschränkungen hinzuzufügen oder aufzuheben, die dem Benutzer <username>root</username> als Vorgabe auferlegt sind. - Beachten Sie, dass es einige Beschränkungen gibt, die nicht - verändert werden können. Der Benutzer + Beachten Sie, dass es einige Beschränkungen gibt, die nicht + verändert werden können. Der Benutzer <username>root</username> darf innheralb der &man.jail.8; keine Dateisysteme mounten und unmounten. Ebenso ist es ihm untersagt, das &man.devfs.8;-Regelwerk zu laden oder zu entladen. Er darf @@ -511,16 +511,16 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep (wie bespielsweise das Setzen des <varname>Securelevels</varname> des Kernel.</para> - <para>Das &os;-Basissystem enthält einen Basissatz an - Werkzeugen, um Informationen über aktive Jails zu erlangen + <para>Das &os;-Basissystem enthält einen Basissatz an + Werkzeugen, um Informationen über aktive Jails zu erlangen und einer Jail administrative Befehle zuzuordnen. Die Befehle &man.jls.8; und &man.jexec.8; sind Teil des &os;-Basissystems - und können für folgende Aufgaben verwendet werden:</para> + und können für folgende Aufgaben verwendet werden:</para> <itemizedlist> <listitem> <para>Das Anzeigen einer Liste der aktiven Jails und ihrer - zugehörigen Jail Identifier (<acronym>JID</acronym>), + zugehörigen Jail Identifier (<acronym>JID</acronym>), ihrer <acronym>IP</acronym>-Addresse, ihres Hostnames und ihres Pfades.</para> </listitem> @@ -528,13 +528,13 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <listitem> <para>Das Herstellen einer Verbindung mit einer laufenden Jail, das Starten eines Befehls aus dem gastgebenen - System heraus oder das Ausführen einer administrativen + System heraus oder das Ausführen einer administrativen Aufgabe innerhalb der Jail selbst. Dies ist insbesondere - dann nützlich, wenn der Benutzer + dann nützlich, wenn der Benutzer <username>root</username> die Jail sauber herunterfahren - möchte. &man.jexec.8; kann auch zum Starten einer + möchte. &man.jexec.8; kann auch zum Starten einer Shell innerhalb der Jail genutzt werden, um adminstrative - Aufgaben durchzuführen:</para> + Aufgaben durchzuführen:</para> <screen>&prompt.root; <userinput>jexec <replaceable>1</replaceable> tcsh</userinput></screen> </listitem> @@ -545,10 +545,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <title>High-Level-Werkzeuge zur Jail-Administration in der &os; Ports-Sammlung</title> - <para>Unter den zahlreichen Fremdwerkzeugen für die Administration + <para>Unter den zahlreichen Fremdwerkzeugen für die Administration von Jails sind die <filename role="package">sysutils/jailutils</filename> die - vollständigsten und brauchbarsten. Dabei handelt es sich um + vollständigsten und brauchbarsten. Dabei handelt es sich um eine Sammlung kleiner Anwendungen, die das &man.jail.8;-Management vereinfachen. Weitere Informationen zu diesen Werkzeugen finden Sie auf den entsprechenden Internetseiten.</para> @@ -574,10 +574,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <para>Dieser Abschnitt basiert auf einer von &a.simon; auf <ulink url="http://simon.nitro.dk/service-jails.html"></ulink> - präsentierten Idee und einem aktualisierten + präsentierten Idee und einem aktualisierten Artikel von Ken Tom (<email>locals@gmail.com</email>). Er beschreibt, wie ein &os;-System durch Benutzung der - &man.jail.8;-Funktion mit zusätzlichen + &man.jail.8;-Funktion mit zusätzlichen Sicherheitsebenen ausgestattet werden kann. Es wird dabei angenommen, dass auf Ihrem &os;-System RELENG_6_0 oder neuer installiert ist und dass Sie die Informationen aus den @@ -591,7 +591,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep sein, da jede Jail bei jedem Upgrade komplett neu gebaut werden muss. Das stellt normalerweise kein Problem dar, wenn es sich um eine einzelne Jail handelt, da der Upgrade-Prozess - recht einfach ist. Verwenden Sie aber eine größere + recht einfach ist. Verwenden Sie aber eine größere Anzahl von Jails, kann dieser Prozess sehr zeitaufwendig werden.</para> @@ -607,16 +607,16 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </warning> <para>Diese Konfiguration basiert darauf, Jails so weit als - möglich gemeinsam zu verwalten. Dies passiert auf sichere + möglich gemeinsam zu verwalten. Dies passiert auf sichere Art und Weise durch den Einsatz von &man.mount.nullfs.8;-Mounts (read-only). Dadurch werden Aktualisierungen erleichtert und das Verteilen von verschiedenen Diensten auf verschiedene - Jails wird attraktiver. Außerdem bietet dieses Verfahren - einen einfachen Weg, Jails hinzuzufügen, zu entfernen und + Jails wird attraktiver. Außerdem bietet dieses Verfahren + einen einfachen Weg, Jails hinzuzufügen, zu entfernen und zu aktualisieren.</para> <note> - <para>Beispiele für Dienste sind in diesem + <para>Beispiele für Dienste sind in diesem Zusammenhang: Ein <acronym>HTTP</acronym>-Server, ein <acronym>DNS</acronym>-Server, ein <acronym>SMTP</acronym>-Server und so weiter.</para> @@ -628,10 +628,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <itemizedlist> <listitem> <para>Das Erstellen einer einfachen und gut - verständlichen Struktur von Jails. Dies beinhaltet, - <emphasis>nicht</emphasis> für jede Jail ein - vollständiges installworld laufen lassen zu - müssen.</para> + verständlichen Struktur von Jails. Dies beinhaltet, + <emphasis>nicht</emphasis> für jede Jail ein + vollständiges installworld laufen lassen zu + müssen.</para> </listitem> <listitem> @@ -650,24 +650,24 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </listitem> <listitem> - <para>Paranoid bezüglich Sicherheit zu sein und - Angriffsmöglickeiten weitgehend zu reduzieren.</para> + <para>Paranoid bezüglich Sicherheit zu sein und + Angriffsmöglickeiten weitgehend zu reduzieren.</para> </listitem> <listitem> - <para>Soviel Platz und Inodes wie möglich + <para>Soviel Platz und Inodes wie möglich einzusparen.</para> </listitem> </itemizedlist> - <para>Wie bereits erwähnt, ist dieses Design stark darauf + <para>Wie bereits erwähnt, ist dieses Design stark darauf angewiesen, dass eine read-only-Hauptvorlage in jede Jail hinein gemountet wird (bekannt als <application>nullfs</application>), und dass jede Jail - über wenigstens ein beschreibbares Gerät - verfügt. Das Gerät kann hierbei eine separate - physikalische Platte oder ein vnode unterstütztes - &man.md.4;-Gerät sein. Im folgenden Beispiel wird ein + über wenigstens ein beschreibbares Gerät + verfügt. Das Gerät kann hierbei eine separate + physikalische Platte oder ein vnode unterstütztes + &man.md.4;-Gerät sein. Im folgenden Beispiel wird ein <application>nullfs</application>-Mount genutzt, auf den nur Lesezugriff erlaubt ist.</para> @@ -683,13 +683,13 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <listitem> <para><filename class="directory">/home/j/mroot</filename> - ist die Vorlage für jede Jail und die nur lesbare - Partition für alle Jails.</para> + ist die Vorlage für jede Jail und die nur lesbare + Partition für alle Jails.</para> </listitem> <listitem> <para>Unterhalb von <filename - class="directory">/home/j</filename> wird für jede + class="directory">/home/j</filename> wird für jede Jail ein leeres Verzeichnis angelegt.</para> </listitem> @@ -715,8 +715,8 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <note> <para>Es wird angenommen, dass die Jails sich unterhalb des <filename class="directory">/home</filename> Verzeichnisses - befinden. Dieser Ort kann von Ihnen natürlich - geändert werden. Allerdings müssen die Pfade + befinden. Dieser Ort kann von Ihnen natürlich + geändert werden. Allerdings müssen die Pfade in den folgenden Beispielen dann entsprechend angepasst werden.</para> </note> @@ -728,16 +728,16 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <para>Dieser Abschnitt beschreibt die Schritte, die zum Erstellen der Hauptvorlage (die den nur lesbaren Bereich - für alle weiteren Jails darstellt) notwendig sind.</para> + für alle weiteren Jails darstellt) notwendig sind.</para> <para>Es ist immer eine gute Idee, &os; auf den aktuellen -RELEASE-Zweig zu aktualisieren. Lesen Sie das entsprechende <ulink url="&url.books.handbook;/makeworld.html">Kapitel</ulink> des - Handbuchs für Informationen zu diesem Thema. Selbst wenn + Handbuchs für Informationen zu diesem Thema. Selbst wenn Sie auf eine Aktualisierung des Betriebssystems verzichten, - müssen Sie dennoch ein buildworld durchführen, um - fortfahren zu können. Außerdem müssen Sie + müssen Sie dennoch ein buildworld durchführen, um + fortfahren zu können. Außerdem müssen Sie das Paket <filename role="package">sysutils/cpdup</filename> installiert sein. In diesem Beispiel wird &man.portsnap.8; verwendet, um die aktuelle &os; Ports-Sammlung herunterzuladen. @@ -749,9 +749,9 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <procedure> <step> <para>Zuerst erstellen wir eine Verzeichnissstruktur - für das read-only-Dateisystem, das die - &os;-Binärdateien für unsere Jails enthalten - wird. Anschließend wechseln wir in den + für das read-only-Dateisystem, das die + &os;-Binärdateien für unsere Jails enthalten + wird. Anschließend wechseln wir in den &os;-Quellcodebaum und installieren das read-only-Dateisystem in die (Vorlage-)Jail.</para> @@ -761,10 +761,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </step> <step> - <para>Als nächstes bereiten wir die Ports-Sammlung - fü die Jails vor und kopieren den &os; Quellcodebaum - in die Jail, da dieser für - <application>mergemaster</application> benötigt wird:</para> + <para>Als nächstes bereiten wir die Ports-Sammlung + fü die Jails vor und kopieren den &os; Quellcodebaum + in die Jail, da dieser für + <application>mergemaster</application> benötigt wird:</para> <screen>&prompt.root; <userinput>cd /home/j/mroot</userinput> &prompt.root; <userinput>mkdir usr/ports</userinput> @@ -773,7 +773,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </step> <step> - <para>Danach wird die Struktur für den + <para>Danach wird die Struktur für den read/write-Bereich des Systems erstellt:</para> <screen>&prompt.root; <userinput>mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles</userinput> @@ -787,7 +787,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <step> <para>Nutzen Sie <application>mergemaster</application>, um fehlende Konfigurationsdateien zu installieren. - Anschließend werden die von + Anschließend werden die von <application>mergemaster</application> erstellten Extra-Verzeichnisse entfernt:</para> @@ -828,7 +828,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep erlaubt es, die &os;-Ports innerhalb jeder Jail zu kompilieren. Das Ports-Verzeichnis ist Teil des read-only System. Der angepasste Pfad des - <literal>WRKDIRPREFIX</literal> macht es möglich, + <literal>WRKDIRPREFIX</literal> macht es möglich, innerhalb des read/write-Bereichs der Jail Ports zu bauen.</para> </step> @@ -847,10 +847,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <procedure> <step> - <para>Fügen Sie die folgenden Zeilen in + <para>Fügen Sie die folgenden Zeilen in <filename>/etc/fstab</filename> ein, damit die - read-only-Vorlage und der read/write-Bereich für - alle Jails verfügbar sind:</para> + read-only-Vorlage und der read/write-Bereich für + alle Jails verfügbar sind:</para> <programlisting>/home/j/mroot /home/j/ns nullfs ro 0 0 /home/j/mroot /home/j/mail nullfs ro 0 0 @@ -862,10 +862,10 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <note> <para>Mit der Pass-Nummer 0 markierte Partitionen werden beim Booten des Systems nicht von &man.fsck.8; - geprüft, mit 0 als Dump-Nummer markierte Partitonen + geprüft, mit 0 als Dump-Nummer markierte Partitonen werden von &man.dump.8; nicht gesichert. Wir wollen nicht, dass <application>fsck</application> unsere - <application>nullfs</application>-Mounts prüft oder + <application>nullfs</application>-Mounts prüft oder dass <application>dump</application> die nur lesbaren nullfs-Mounts unserer Jails sichert. Deshalb werden diese Bereiche in den letzten beiden Spalten der @@ -895,7 +895,7 @@ jail_www_rootdir="/usr/home/j/www" jail_www_devfs_enable="YES"</programlisting> <warning> - <para>Der Grund dafür, dass die Variablen + <para>Der Grund dafür, dass die Variablen <varname>jail_<replaceable>name</replaceable>_rootdir</varname> nach <filename class="directory">/usr/home</filename> statt nach <filename class="directory">/home</filename> @@ -908,14 +908,14 @@ jail_www_devfs_enable="YES"</programlisting> darf im Pfad aber <emphasis>keinen symbolischen Link</emphasis> enthalten, weil das Jail ansonsten nicht gestartet werden kann. Verwenden Sie - &man.realpath.1;, um den korrekten Wert für diese + &man.realpath.1;, um den korrekten Wert für diese Variable zu bestimmen. Weitere Informationen finden Sie im Security Advisory &os;-SA-07:01.jail.</para> </warning> </step> <step> - <para>Erstellen Sie die notwendigen Mountpunkte für + <para>Erstellen Sie die notwendigen Mountpunkte für die nur lesbaren Bereiche jeder Jail:</para> <screen>&prompt.root; <userinput>mkdir /home/j/ns /home/j/mail /home/j/www</userinput></screen> @@ -923,7 +923,7 @@ jail_www_devfs_enable="YES"</programlisting> <step> <para>Installieren Sie die read/write-Vorlage in jede - Jail. Benutzen Sie hierfür <filename + Jail. Benutzen Sie hierfür <filename role="package">sysutils/cpdup</filename>, welches es erleichtert, eine korrekte Kopie jedes Verzeichnisses zu erstellen:</para> @@ -941,8 +941,8 @@ jail_www_devfs_enable="YES"</programlisting> <step> <para>An dieser Stelle werden die Jails erstellt und - fü den Betrieb vorbereitet. Zuerst mounten Sie die - notwendigen Dateisysteme für jede Jail und starten + fü den Betrieb vorbereitet. Zuerst mounten Sie die + notwendigen Dateisysteme für jede Jail und starten diese dann mit dem Skript <filename>/etc/rc.d/jail</filename>:</para> @@ -951,10 +951,10 @@ jail_www_devfs_enable="YES"</programlisting> </step> </procedure> - <para>Die Jails sollten nun laufen. Um zu prüfen, ob sie + <para>Die Jails sollten nun laufen. Um zu prüfen, ob sie korrekt gestartet wurden, verwenden Sie &man.jls.8;. Nach dem Aufruf dieses Befehls sollten Sie eine Ausgabe - ähnlich der folgenden erhalten:</para> + ähnlich der folgenden erhalten:</para> <screen>&prompt.root; <userinput>jls</userinput> JID IP Address Hostname Path @@ -962,12 +962,12 @@ jail_www_devfs_enable="YES"</programlisting> 2 192.168.3.18 mail.example.org /home/j/mail 1 62.123.43.14 www.example.org /home/j/www</screen> - <para>An diesem Punkt sollte es möglich sein, sich an + <para>An diesem Punkt sollte es möglich sein, sich an jeder Jail anzumelden, Benutzer anzulegen und Dienste zu konfigurieren. Die Spalte <literal>JID</literal> gibt die Jail-Identifikationsnummer jeder laufenden Jail an. Nutzen Sie den folgenden Befehl, um administrative Aufgaben in der Jail - mit der <literal>JID</literal> 3 durchzuführen:</para> + mit der <literal>JID</literal> 3 durchzuführen:</para> <screen>&prompt.root; <userinput>jexec 3 tcsh</userinput></screen> </sect3> @@ -977,19 +977,19 @@ jail_www_devfs_enable="YES"</programlisting> <para>Mit der Zeit wird es notwendig sein, das System auf eine neuere Version von &os; zu aktualisieren. Zum einen aus - Sicherheitsgründen, zum anderen, um neu eingeführte - Funktionen nutzen zu können, die für die bestehenden + Sicherheitsgründen, zum anderen, um neu eingeführte + Funktionen nutzen zu können, die für die bestehenden Jails sinnvoll sind. Das Design dieses Aufbaus bietet einen einfachen Weg, bestehende Jails zu aktualisieren. Zudem reduziert es die Downtime, da die Jails erst im allerletzten - Schritt gestoppt werden müssen. Außerdem bietet - es die Möglichkeit, zu älteren Versionen - zurückzukehren, falls irgendwelche Probleme auftreten.</para> + Schritt gestoppt werden müssen. Außerdem bietet + es die Möglichkeit, zu älteren Versionen + zurückzukehren, falls irgendwelche Probleme auftreten.</para> <procedure> <step> <para>Im ersten Schritt wird das Host-System aktualisiert. - Anschließend wird eine temporäre neue + Anschließend wird eine temporäre neue read-only Vorlage <filename class="directory">/home/j/mroot2</filename> erstellt.</para> @@ -1001,7 +1001,7 @@ jail_www_devfs_enable="YES"</programlisting> &prompt.root; <userinput>mkdir s</userinput></screen> <para>Der <maketarget>installworld</maketarget>-Durchlauf - erzeugt einige unnötige Verzeichnisse, die nun entfernt + erzeugt einige unnötige Verzeichnisse, die nun entfernt werden sollten:</para> <screen>&prompt.root; <userinput>chflags -R 0 var</userinput> @@ -1009,7 +1009,7 @@ jail_www_devfs_enable="YES"</programlisting> </step> <step> - <para>Erzeugen Sie neue symbolische Links für das + <para>Erzeugen Sie neue symbolische Links für das Hauptdateisystem:</para> <screen>&prompt.root; <userinput>ln -s s/etc etc</userinput> @@ -1043,9 +1043,9 @@ jail_www_devfs_enable="YES"</programlisting> <note> <para>Die read/write-Systeme sind an das read-only - System angehängt (<filename + System angehängt (<filename class="directory">/s</filename>), das daher zuerst - ausgehängt werden muss.</para> + ausgehängt werden muss.</para> </note> </step> @@ -1066,7 +1066,7 @@ jail_www_devfs_enable="YES"</programlisting> <step> <para>Nun ist die neue read-only-Vorlage fertig. Sie - müssen daher nur noch die Dateisysteme erneut mounten + müssen daher nur noch die Dateisysteme erneut mounten und die Jails starten:</para> <screen>&prompt.root; <userinput>mount -a</userinput> @@ -1074,10 +1074,10 @@ jail_www_devfs_enable="YES"</programlisting> </step> </procedure> - <para>Nutzen Sie &man.jls.8; um zu prüfen, ob die Jails + <para>Nutzen Sie &man.jls.8; um zu prüfen, ob die Jails korrekt gestartet wurden. Vergessen Sie nicht, innerhalb jeder Jail <command>mergemaster</command> laufen zu lassen. Die - Konfigurationsdateien müssen (ebenso wie die + Konfigurationsdateien müssen (ebenso wie die rc.d-Skripten) aktualisiert werden.</para> </sect3> </sect2> |