新しい方法での古い技術。 FreeBSD Jails + CBSDプロジェクト

まえがき

約9年前、最初の無制限の関税が市に現れたとき（500ルーブルで128 kbit / sのようなもの）、私はさまざまな問題を解決するためにアパートに自分の「サーバー」を置くことにしました。 最初のアイデアの1つは、FreeBSD.orgプロジェクトのミラーを上げることでした。 それは約2年間働きました。 さらに、これは、チャネルの拡大およびその他の理由により、意味がありませんでした。

さらに、サーバーは異なる期間に他のタスクを引き受けました。

• データ、ドキュメント、ディストリビューションのバックアップコピーの保存。
• トレントをダウンロードしてください。
• DLNAおよびSMBを介したさまざまなデバイスへのトレントの配布。
• プロバイダーへのVPNクライアント（サーバーがMPDを介して2つのPPTP接続を維持する期間さえありました-ローカルトラフィックと低速無制限操作のため）;
• VPNサーバーとオフィスゲートウェイへの接続（動作するチャネル）;
• IPテレフォニー用のアスタリスクサーバー（後の家には、あらゆる種類のSPA-3112、ラジオチューブなどがありました）。
• IPカメラからデータを受信し、MikrotikスクリプトでバックアップをリセットするためのFTPサービス。
• 等 など

一般的なアイデア-たくさんのカラフルなパーツを持ち、そのような何かを台無しにしたいという強い願望を持つコンストラクターの手の中。 一般に、これはnixシステムを知っており、愛しているほとんどのシステム管理者にとって一般的な状況です。

オペレーティングシステム

最初の4〜5年間は、オペレーティングシステムとしてFreeBSDを使用していました。 ある時点で、仕事を変えてMicrosoftテクノロジーに没頭し始めたとき、ホームサーバーに対処する時間はまったくありませんでした。 私はまた、ポートアップグレードに時間を費やすことに本当に疲れていることを覚えています。 他の理由があったのかもしれませんが、正確には覚えていません。 しかし、結果はDebianへの移動（半日）であり、サーバーは長い間使用されませんでした（使用されましたが、変更はされませんでした-たまにしか更新されませんでした）。

そしてつい最近、1月の休日に、FreeBSD 11 でもう 1つの原点復帰が行われました-サーバーが再インストールされました-そして、その理由は、 CBSDプロジェクトに対する私の知り合いと賞賛です。

CBSDプロジェクトを愛する理由

これを行うには、約5年前にFreeBSDを離れた理由を覚えておいてください-空き時間の不足、古いバイナリパッケージインストールシステム（pkg_ *）、および不便なJails管理。 私がFreeBSDからLinuxに切り替えた理由を正確に言うのは難しいです。 しかし、私が今確信していることは、サーバー上でCBSDプロジェクトとFreeBSDを併用することで、最終的に利便性とセキュリティの両方を組み合わせることができるようになりました。

過去のすべてのインストールは、すべての卵を1つのバスケットに入れて、原則に基づいて構成されています。 1つのサービスが侵害されると、自動的にすべてのサービスが侵害されます。 サーバーにCBSDが出現したため、各サービスを自分のセルに配置し、相互作用を制限し、最も必要な最小値のみを残すというルールを作成しました。

だから-私の理由：

• 簡単なインストール（cbsdパッケージをインストールし、最初のウィザードを開始し、一般的な質問に答えます-これは2分です）。
• 新しいセルを作成する速度（ZFSのFSにある専用IPアドレス、割り当てられたクォータ、およびpkgngが既に初期化されている新しいセルを取得する単一のコマンドを完了するのに1分かかります）;
• サーバー間ですべての設定を使用してセルを簡単に転送できます（これは非常に便利で重要です-現時点では、FreeBSDベースのサーバーが5台（自宅、両親、義理の母、職場のカップル）に既にあるので、セルを作成して設定するだけです一度だけ-将来的には、エクスポート/インポートまたはクローン/移行を介してどこにでも転送できます。
• 安全性と利便性。 通常、弱い互換性のもの。 しかし-ここでは、結合することが可能でしたようです：

1. 読み取り専用ルートシステムでセルを作成できます。 これにより、RootKit-tools（基本ユーティリティを置き換える）の実装が1桁だけセルに複雑になります。
2. セルと他のセルおよびインターネットとの相互作用を制限するだけです-PBS / IPFW制御はCBSDに統合されています。
3. 新しい環境を簡単に作成できるため、ベースシステムに新しいソフトウェアを配置する誘惑はありません（怠iness怠iness ...）。
4. セルは、エクスポート/インポート用に予約されているだけです。つまり、より頻繁にスケジュールどおりにコピーを作成できます。
5. セルの更新は簡単で、メインシステムから管理します（世界を更新し、インストールされたソフトウェアを更新します）。 SSHサービスを上げてAnsibleなどを設定する必要はありません。
6. コンテンツセキュリティ CBSDには、コンテンツとJail自体をさまざまな場所でホストする機能が組み込まれています。 そして、セルの開始時に、jailのコンテンツを含むディレクトリを、mount_nullfsを介して指定されたディレクトリにマウントします。 また、読み取り/書き込みモードでは可能ですが、読み取り専用では可能です。 これは非常に便利です。たとえば、セルの停止、バックアップ（エクスポート）、およびセルの再起動を行うスクリプトを作成できるためです。 その結果、アーカイブにはソフトウェアと設定（200〜300 MBの圧縮形式）のみが含まれ、コンテンツは個別にエクスポートされません（たとえば、1 TBのトレントがあります）。 OwnCloudでも同様です。 Sambaサーバー。 等

最後にpkgng

pkgngの作成者に感謝します。 パッケージ（バイナリ）管理の新しい近代的なシステムの開発がなければ、CBSDプロジェクトは現在ほど便利ではありません。

pkgngの出現は、「ほぼ完全に」/ usr / portsを放棄する理由です。つまり、pkgngの追加として処理します。 私は次の原則を使用します。

1. pkgを使用してすべての可能なソフトウェアをインストールします。 最新のブランチから更新を取得します（/etc/pkg/FreeBSD.confファイルを編集）。
2.いくつかのソフトウェアが自分に合わないフラグでpkgリポジトリに収集されていることを理解した場合（手ではなく、CBSDフレームワークを介して/ usr / portsをマウントします-cbsd jset mode = quiet jname = dokuwiki mount_ports = "1"）、必要なUSEフラグを使用してポートからこのソフトウェアを収集します。
3. pkg lockを使用して、一意のオプションでアセンブルされたこのソフトウェアは、pkg upgradeを介した自動更新から閉じられます。

結果-任意の数のセルで、1つのスクリプトで99％のプログラムを更新でき、99％の確率でサービスの作業を中断しません。 悲しいかな-1％は常に残ります。 しかし-セルの自動バックアップがあります。 以前にインストールされたパッケージのキャッシュを含むディレクトリもあります。 したがって、2つのロールバックオプションがあります（パケットをロールバックするか、セル全体をロールバックします）。 思い出させてください-1つのセル-1つのサービス/サービスがあります。

CBSDの研究中に書かれたスクリプトと設定の例：

要約：

CBSDは非常に興味深いプロジェクトであり、これをよりよく知り、「既製の成功したソリューションのポートフォリオ」に含めることをお勧めします。