PERFORCE change 146251 for review
Remko Lodder
remko at FreeBSD.org
Wed Jul 30 17:08:55 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=146251
Change 146251 by remko at remko_nakur on 2008/07/30 17:07:58
latest work in progress.
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#6 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#6 (text+ko) ====
@@ -1,7 +1,7 @@
<!--
- The FreeBSD Documentation Project
+ The FreeBSD Dutch Documentation Project
- $FreeBSD: doc/en_US.ISO8859-1/books/handbook/jails/chapter.sgml,v 1.15 2008/03/25 17:21:09 jkois Exp $
+ $FreeBSD$
-->
<chapter id="jails">
<chapterinfo>
@@ -298,7 +298,7 @@
<filename role="directory">$D/etc</filename>.</para>
</callout>
- <callout arearefs="jaildevs">
+ <callout arearefs="jaildevfs">
<para>Het koppelen van het &man.devfs.8; bestands systeem
is niet vereist in een jail. Aan de andere kant, vrijwel
elke applicatie heeft toegang nodig tot minstens
@@ -307,7 +307,7 @@
apparaten te controleren binnenin een jail, omdat incorrecte
instellingen een aanvaller de mogelijkheid kunnen geven om
vervelende dingen in de jail te doen. De controle over
- &man.defvs.8; wordt gedaan door middel van rulesets, welke
+ &man.devfs.8; wordt gedaan door middel van rulesets, welke
beschreven worden in de &man.devfs.8; en &man.devfs.conf.5;
handleidingen.</para>
</callout>
@@ -364,28 +364,123 @@
<para>Voor een complete lijst van beschikbare opties, zie de
&man.rc.conf.5; handleiding.</para>
</note>
- </procedure>
+ </step>
+ </procedure>
- <para>Het <filename>/etc/rc.d/jail</filename> bestand kan worden
- gebruikt om jails handmatig te starten en te stoppen, mits er
- een overeenkomstige set regels bestaat in
- <filename>/etc/rc.conf</filename>.</para>
+ <para>Het <filename>/etc/rc.d/jail</filename> bestand kan worden
+ gebruikt om jails handmatig te starten en te stoppen, mits er
+ een overeenkomstige set regels bestaat in
+ <filename>/etc/rc.conf</filename>.</para>
- <screen>&prompt.root; <userinput>/etc/rc.d/jail start <replaceable>www</replaceable></userinput>
+ <screen>&prompt.root; <userinput>/etc/rc.d/jail start <replaceable>www</replaceable></userinput>
&prompt.root; <userinput>/etc/rc.d/jail stop <replaceable>www</replaceable></userinput></screen>
+ <para>Er is op dit moment geen nette methode om een jail te
+ stoppen. Dit komt omdat de benodigde applicaties die een
+ nette afsluiting verzorgen, niet beschikbaar zijn in een
+ jail. De beste manier om een jail af te sluiten is door
+ het volgende commando van binnenin de jail uit te voeren
+ of door middel van het &man.jexec.8; commando:</para>
+
+ <screen>&prompt.root; <userinput>sh /etc/rc.shutdown</userinput></screen>
+
+ <para>Meer informatie over dit alles kan gevonden worden in de
+ &man.jail.8; handleiding.</para>
</sect1>
<sect1 id="jails-tuning">
- <title>* Optimaliseren en administratie</title>
+ <title>Optimaliseren en administratie</title>
+
+ <para>Er zijn meerdere opties beschikbaar die ingesteld kunnen
+ worden voor elke jail, en er zijn meerdere mogelijkheden om een
+ &os; host systeem te combineren met jails om een hoger nivo van
+ applicaties te verkrijgen. Deze sectie presenteert:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>Een aantal opties zijn beschikbaar voor het optimaliseren
+ van het gedrag en beveiligings beperkingen die geimplementeerd
+ worden in een jail.</para>
+ </listitem>
- <para>Wordt nog vertaald.</para>
+ <listitem>
+ <para>Een aantal hoger nivo applicaties die gebruikt worden voor
+ het beheren van jails, welke beschikbaar zijn via de &os; Ports
+ Collectie en kunnen gebruikt worden om een complete
+ jail-gebaseerde oplossing te creeëren.</para>
+ </listitem>
+ </itemizedlist>
<sect2 id="jails-tuning-utilities">
- <title>* Systeem applicaties voor het optimaliser van jails onder
+ <title>Systeem applicaties voor het optimaliseren van jails onder
&os;</title>
- <para>Wordt nog vertaald.</para>
+ <para>Het goed kunnen optimaliseren een jail configuratie wordt
+ veelal gedaan door het instellen van &man.sysctl.8; variabelen.
+ Er bestaat een speciale subtak van sysctl voor het organiseren
+ van alle relevante opties: de <varname>security.jail.*</varname>
+ hierarchie binnen de &os; kernel opties. Hieronder staat een
+ lijst van de belangrijkste jail-gerelateerde sysctl variabelen,
+ met informatie over de standaard waardes. De benaming zou
+ zelf beschrijvend moeten zijn, maar voor meer informatie
+ kunnen de &man.jail.8; en &man.sysctl.8; handleidingen
+ geraadpleegd worden.</para>
+
+ <itemizedlist>
+ <listitem>
+ <para><varname>security.jail.set_hostname_allowed:
+ 1</varname></para>
+ </listitem>
+
+ <listitem>
+ <para><varname>security.jail.socket_unixiproute_only:
+ 1</varname></para>
+ </listitem>
+
+ <listitem>
+ <para><varname>security.jail.sysvipc_allowed:
+ 1</varname></para>
+ </listitem>
+
+ <listitem>
+ <para><varname>security.jail.enforce_statfs:
+ 2</varname></para>
+ </listitem>
+
+ <listitem>
+ <para><varname>security.jail.allow_raw_sockets:
+ 0</varname></para>
+ </listitem>
+
+ <listitem>
+ <para><varname>security.jail.chflags_allowed:
+ 0</varname></para>
+ </listitem>
+
+ <listitem>
+ <para><varname>security.jail.jailed: 0</varname></para>
+ </listitem>
+ </itemizedlist>
+
+ <para>Deze variabelen kunnen door de systeem beheerder gebruikt
+ worden op het <emphasis>host systeem</emphasis> om limitaties
+ toe te voegen of te verwijderen, welke standaard opgedwongen
+ worden aan de <username>root</username> gebruiker. Let op,
+ een aantal beperkingen kan niet worden aangepast. De
+ <username>root</username> gebruiker mag geen bestandssystemen
+ koppelen of ontkoppelen binnenin een &man.jail.8;. De
+ <username>root</username> gebruiker mag ook geen &man.devfs.8;
+ rulesets laden of ontladen, firewall rules plaatsen of andere
+ taken uitvoeren die vereisen dat de in-kernel data wordt
+ aangepast, zoals het aanpassen van de
+ <varname>securelevel</varname> variabele in de kernel.</para>
+
+ <para>Het basis systeem van &os; bevat een basis set van
+ applicaties voor het inzien van de actieve jails, en voor
+ het uitvoeren van administratieve commando's in een jail.
+ De &man.jls.8; en &man.jexec.8; commando's zijn onderdeel van
+ het basis systeem en kunnen gebruikt worden voor het
+ uitvoeren van de volgende simpele taken:</para>
</sect2>
<sect2 id="jails-tuning-admintools">
More information about the p4-projects
mailing list