configuracoes_de_virtualizacao
Essa é uma revisão anterior do documento!
Algumas Configurações do Bastille
— Texto —
## Configuração do /etc/jail.conf -- Funcional, porém com muitas limitações
jail1 {
jid = 1;
# ip4 = inherit;
ip4.addr += "lo1|127.0.1.12/32";
ip4.addr += "em0|192.168.1.90/24";
host.hostname = "http10";
mount.devfs;
mount.procfs;
mount.fdescfs;
exec.start = "sh /etc/rc";
exec.stop = "sh /etc/rc.shutdown jail";
path = "/usr/local/etc/jails/hppd10";
interface = em0;
##### Resolvem problema para ping
allow.raw_sockets;
allow.socket_af;
#allow.reserved_ports;
### Resolvem problema para instalar Postgres
sysvsem = "new";
sysvmsg = "new";
sysvshm = "new";
###########################
exec.clean;
exec.system_user = "root";
exec.jail_user = "root";
}
Configurações Recomendadas:
## /etc/devfs.rules (NOT .conf)
[bastille_vnet=13]
add include $devfsrules_hide_all
add include $devfsrules_unhide_basic
add include $devfsrules_unhide_login
add include $devfsrules_jail
add include $devfsrules_jail_vnet
add path 'bpf*' unhide
Lastly, you may want to consider these three sysctl values:
## ee /etc/sysctl.conf
net.link.bridge.pfil_bridge=0
net.link.bridge.pfil_onlyip=0
net.link.bridge.pfil_member=0
-- Novas opções, falta testar
# Common configs for all jails
path = "/jails/$name";
host.hostname = "$name";
exec.start = "/bin/sh /etc/rc";
exec.stop = "/bin/sh /etc/rc.shutdown";
exec.clean;
persist;
ip4 = inherit;
ip6 = inherit;
mount.devfs;
mount.fdescfs;
allow.mount;
allow.mount.devfs;
allow.mount.fdescfs;
allow.mount.nullfs;
allow.mount.tmpfs;
allow.mount.procfs;
allow.mount.zfs;
enforce_statfs=1;
children.max=100;
allow.socket_af;
allow.raw_sockets;
allow.chflags;
allow.sysvipc;
a {
devfs_ruleset="20";
}
/etc/devfs.rules
[a=20]
add include $devfsrules_hide_all
add include $devfsrules_unhide_basic
add include $devfsrules_unhide_login
add path 'mixer*' unhide
add path 'dsp*' unhide
add path 'zfs*' unhide
-------------------------------------------------------------
#### Arquivo de configuração do pf.conf -- Funcional
ext_if="em0"
set block-policy return
scrub in on $ext_if all fragment reassemble
set skip on lo
table <jails> persist
nat on $ext_if from <jails> to any -> ($ext_if:0)
rdr-anchor "rdr/*"
# Redirecionar tráfego na porta 80 para a jail1
rdr pass on em0 proto tcp from any to 192.168.1.30 port 80 -> 192.168.1.99 port 80
block in all
pass out quick keep state
antispoof for $ext_if inet
pass in inet proto tcp from any to any port 22 flags S/SA modulate state
## Regras para liberar o acesso aos serviços das jails
pass in inet proto tcp from any to any port 80 flags S/SA modulate state # permite regras no porta 80 para todos os hosts
pass in inet proto tcp from any to 192.168.1.77 port 8080 flags S/SA modulate state # permite regras somente para um ip especifico
---------------
COnfiguração VNET
www {
devfs_ruleset = 13;
enforce_statfs = 2;
exec.clean;
exec.consolelog = /var/log/bastille/www_console.log;
exec.start = '/bin/sh /etc/rc';
exec.stop = '/bin/sh /etc/rc.shutdown';
host.hostname = www;
mount.devfs;
mount.fstab = /usr/local/bastille/jails/www/fstab;
path = /usr/local/bastille/jails/www/root;
securelevel = 2;
vnet;
vnet.interface = e0b_bastille0;
exec.prestart += "jib addm bastille0 re0";
# exec.prestart += "ifconfig e0a_bastille0 description \"vnet host interface for Bastille jail www\""; # Linha original, desativada
exec.prestart += "ifconfig e0a_bastille0 description \"POSTGRES-SERVER\""; # Mudei a descricao da NIC
exec.prestart += "ifconfig e0a_bastille0 10.0.0.1/24 up"; ## Acrescentei para adicionar IP na interface na inicializacao
exec.poststop += "jib destroy bastille0";
}
#####################
pf.conf para o vtnet0
ext_if="vtnet0" # Lembrar de alterar essa linha com o nome da sua interface
nat on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
rdr-anchor "rdr/*"
pass all
########################
Log primeiros testes com linux com bastille
# bastille bootstrap focal
fdescfs not enabled in /boot/loader.conf, Should I do that for you? (N|y)
y
Persisting module: fdescfs
fdescfs_load: -> YES
linprocfs not enabled in /boot/loader.conf, Should I do that for you? (N|y)
y
Loading kernel module: linprocfs
Loaded linprocfs, id=27
Persisting module: linprocfs
linprocfs_load: -> YES
linsysfs not enabled in /boot/loader.conf, Should I do that for you? (N|y)
y
Loading kernel module: linsysfs
Loaded linsysfs, id=30
Persisting module: linsysfs
linsysfs_load: -> YES
tmpfs not enabled in /boot/loader.conf, Should I do that for you? (N|y)
y
Persisting module: tmpfs
tmpfs_load: -> YES
Loading kernel module: linux
Loaded linux, id=31
Loading kernel module: linux64
Loaded linux64, id=32
linux_enable: NO -> YES
Debootstrap not found. Should it be installed? (N|y)
y
------------------ Samba em Jail -----------
1 - Acrescentar no arquivo jail.conf
allow.mount.fdescfs;
sysvsem = "new";
sysvmsg = "new";
sysvshm = "new";
2 - A versão funcional do backup foi samba413-4.13.17_5
3 - Lembrar de criar a jail com placa -V vnet:
4 - Comando para rolar o backup online (offline ainda não funcionou):
samba-tool domain backup online --targetdir=/root/backup --server=dc1.mundobsd.local -UAdministrator
5 - Restore, lembrar que não pode por o nome do mesmo servidor, por exemplo, meu DC tinha o nome de dc1.mundobsd.local, tive que mudar para dc2.mundobsd.local:
samba-tool domain backup restore --backup-file=/root/backup/samba-online-mundobsd.local-2023-07-13T08-56-54.154119.tar.bz2 --targetdir=/var/db/samba4 --newservername=dc2.mundobsd.local
6 - Após o restore do backup, mover ou copiar o arquivo smb.conf que está agora em /var/db/samba4/etc e com o nome smb.conf para /usr/local/etc com nome de smb4.conf:
cd /var/db/samba4/etc/
cp smb.conf /usr/local/etc/smb4.conf
7 - Mudar as permissões de pasta do samba4 para 0755:
chmod 0755 /var/db/samba4/
8 - Rodar o servidor samba e testar:
9 - Ainda falta testar mais, mas até aqui o servidor voltou normalmente
configuracoes_de_virtualizacao.1716643781.txt.gz · Última modificação: 2024/05/25 13:29 por dhiemeson.nascimento