Доброго времени суток!Порылся в топиках этого форума, вроде не нашел. Посему задам свой вопрос.
Как оптимально разбить винт под фрей, с учетом UNIX-концепций (разделяемое/неразделяемое, изменяемое/неизменяемое), а также максимальной секьюрности?
Задачи, которые будут крутиться на машинке: Apache, PHP, MySQL, Squid.
Комп является роутером в инет.
В будущем тачанка получит реальный IP.С ув., Михаил.
странно искалhttp://www.opennet.me/base/net/mcafee_freebsd.txt.html
1. Устанавливаем FreeBSD 5.2.1 (или более позднюю, что для нашего случая
- не столь существенно)Для более свободного размещения принимаем примерно следующие размеры для
разделов, вариации по вкусу:Раздел Объем - минимальный Общий подход (рекомендуемое значение)
/ 512 МВ 512 МБ - 1 ГБ (1 ГБ)
Swap 256 MB Объем = размеру RAM + 128-256 МБ
/tmp 512 МВ 512 МБ - 1 ГБ (1 ГБ)
/usr 1 GB 50 % оставшегося свободного пространства
/var 1 GB 50 % оставшегося свободного пространства
ВСЕГО 4 GB Не менее 9 ГБ
>Доброго времени суток!
>
>Порылся в топиках этого форума, вроде не нашел. Посему задам свой вопрос.
>
>Как оптимально разбить винт под фрей, с учетом UNIX-концепций (разделяемое/неразделяемое, изменяемое/неизменяемое), а
>также максимальной секьюрности?
>Задачи, которые будут крутиться на машинке: Apache, PHP, MySQL, Squid.
>Комп является роутером в инет.
>В будущем тачанка получит реальный IP.
>
>С ув., Михаил.
еще один подход: (ну сейчас начнется флейм !!!)ставишь систему как сказано выше - но занимаешь 9-10 гиг. Все равно ее прийдется ставить 2 или 3 раза. Для верности. С нуля. Смотришь что получается по результатам занятости разделов - оцениваешь с предложенным вариантом на 9 гиг. Все остальное пространоство - не распределено. Дальше начинается самое тонкое - читаешь здесь статьи про Jail. Делаешь новый раздел для Apache-jail системы и всю ее укладываешь туда. В только для нее предназначенный раздел. Но с первого раза - не получиться - читай выше - потребуется пару инсталяций. В более простом варианте - по крайней мере все что относится к апачу - в отдельный раздел. Конечно может это и перебор, но 2 момента в этом есть - восстанавливаешь раздел как он есть - система при этом живая и второе - в гипотетическом случае выхода из строя винта - а вываливаться по идее он должне начиная с раздела, к которому найболее частая нагрузка - у тебя летит раздел, но как роутер машина еще несколько часов может покрутиться - то есть физическое разделение разделов. Кстати, по этой причине у меня все Сквидовские разделы - отдельно.
>еще один подход: (ну сейчас начнется флейм !!!)
>
>ставишь систему как сказано выше - но занимаешь 9-10 гиг. Все равно
>ее прийдется ставить 2 или 3 раза. Для верности. С нуля.
>Смотришь что получается по результатам занятости разделов - оцениваешь с предложенным
>вариантом на 9 гиг. Все остальное пространоство - не распределено. Дальше
>начинается самое тонкое - читаешь здесь статьи про Jail. Делаешь новый
>раздел для Apache-jail системы и всю ее укладываешь туда. В только
>для нее предназначенный раздел. Но с первого раза - не получиться
>- читай выше - потребуется пару инсталяций. В более простом варианте
>- по крайней мере все что относится к апачу - в
>отдельный раздел. Конечно может это и перебор, но 2 момента в
>этом есть - восстанавливаешь раздел как он есть - система при
>этом живая и второе - в гипотетическом случае выхода из строя
>винта - а вываливаться по идее он должне начиная с раздела,
>к которому найболее частая нагрузка - у тебя летит раздел, но
>как роутер машина еще несколько часов может покрутиться - то есть
>физическое разделение разделов. Кстати, по этой причине у меня все Сквидовские
>разделы - отдельно.Как я понял:
- отдельный раздел для "/",
- отдельный раздел для "usr",
- отдельный для "var"Создать два "jail-раздела".
Поставить связку "апач+пхп+мускул" и скопировать в 1 "jail-раздел".
Поставить сквид и также скопировать во 2 "jail-раздел".? :)
Плиз сильно ногами не пинайте :)
>Как я понял:
>- отдельный раздел для "/",
>- отдельный раздел для "usr",
>- отдельный для "var"
Да, примерно - выше - ПОЛНЫЙ набор, на котором работает сама система. должны быть все части. Размеры указаны. Смотри на 9 ГБ.
>
>Создать два "jail-раздела".
>Сначала полностью поставить систему и удостовериться что она работает. (я это обычно делаю под VmWare)
>Поставить связку "апач+пхп+мускул" и скопировать в 1 "jail-раздел".
Сначала очень внимательно прочитать статью к этому относящуюся - на предмет того где сам апач надо ставить - внутри Jail или нет. Тоесть разговор об границах "джаилирования" - до уровня ВВВ директорий - до уровня ЦГИ директорий и т.д.
>Поставить сквид и также скопировать во 2 "jail-раздел".
Его не будут ломать снаружи - не заниматься "супер" безопасностью - просто ставить на другой раздел (или если 2 винчестера - на второй винчестер) - причины - указаны сверху.
>
>? :)
>
>Плиз сильно ногами не пинайте :)Нормальный ход
>Сначала полностью поставить систему и удостовериться что она работает. (я это обычно
>делаю под VmWare)Стоит. Работает. Апач, мускул и т.д.
Просто встала необходимость переустановки на новый (собственный) винт 20Г.>
>>Поставить связку "апач+пхп+мускул" и скопировать в 1 "jail-раздел".
>
>Сначала очень внимательно прочитать статью к этому относящуюся - на предмет того
>где сам апач надо ставить - внутри Jail или нет. Тоесть
>разговор об границах "джаилирования" - до уровня ВВВ директорий - до
>уровня ЦГИ директорий и т.д.Понял. Будем искать внимательнее. Общую концепцию понял, но как установить апач с мускулом и пхп в тюрьму - не нашел; или все ставится простым копированием...
>>Поставить сквид и также скопировать во 2 "jail-раздел".
>
>Его не будут ломать снаружи - не заниматься "супер" безопасностью - просто
>ставить на другой раздел (или если 2 винчестера - на второй
>винчестер) - причины - указаны сверху.Понятно. :)
>>Плиз сильно ногами не пинайте :)
>
>Нормальный ход:)
Напугали меня тут. Типа, высунешь задницу в инет, готовь вазилин :)
>>Сначала полностью поставить систему и удостовериться что она работает. (я это обычно
>>делаю под VmWare)
>
>Стоит. Работает. Апач, мускул и т.д.
>Просто встала необходимость переустановки на новый (собственный) винт 20Г.
>
>>
>>>Поставить связку "апач+пхп+мускул" и скопировать в 1 "jail-раздел".
>>
>>Сначала очень внимательно прочитать статью к этому относящуюся - на предмет того
>>где сам апач надо ставить - внутри Jail или нет. Тоесть
>>разговор об границах "джаилирования" - до уровня ВВВ директорий - до
>>уровня ЦГИ директорий и т.д.
>
>Понял. Будем искать внимательнее. Общую концепцию понял, но как установить апач
>с мускулом и пхп в тюрьму - не нашел; или все
>ставится простым копированием...
посмотри http://www.opennet.me/base/net/jail_machine.txt.html
http://www.opennet.me/base/dev/apache_chroot.txt.html
>
>:)
>Напугали меня тут. Типа, высунешь задницу в инет, готовь вазилин :)
А если вазелин предварительно с перцем или скипидаром смешать ? Не отучатся его пользовать ?
>>Сначала полностью поставить систему и удостовериться что она работает. (я это обычно
>>делаю под VmWare)
>
>Стоит. Работает. Апач, мускул и т.д.
>Просто встала необходимость переустановки на новый (собственный) винт 20Г.Слушай, не парься - с помощью DD сдублируй диски и спи спокойно.