View previous topic :: View next topic |
Author |
Message |
ro Apprentice
Joined: 28 Mar 2003 Posts: 289
|
Posted: Fri Dec 23, 2005 4:15 pm Post subject: user mode linux |
|
|
Hi,
also ich bin gerade dabei (es wird sich noch einige zeit hinziehn aufgrund meines zeitmangels) ein howto mit dem namen "secure gentoo GNU/Linux server" das sämtliche dienste und deren absicherung behandeln wird. ich setze dabei virtualisierung ein und habe mich dabei vorläufig für UML entschieden.
zu diesem thema hab ich auch gleich ein paar fragen:
1.) ich hab den skas-patch für kernel 2.6.14 jetzt so angepasst, dass er für die hardened-sources auf x86 und x86_64 verwendet werden kann. allerdings gibts da probleme mit CONFIG_PAX_SEGMEXEC. (der kernel lässt sich dann nicht kompilieren) weiß jemand obs da lösungen gibt bzw. generell schon funktionierende patches für hardened-sources-2.6.14-r1 (PAX im UML wär ziemlich cool).
2.) vielleicht sitz ich schon wieder zu lange vor dem problem und erkenn vor lauter bäumen den wald nicht mehr, aber irgendwie schaff ich es nicht, eine funktionierende netzwerkverbindung herzustellen. im host-kernel ist TUN/TAP aktiviert, im guest-system reicht dann ein ifconfig bla und route add bla und ich komm überall hin. (guest hat eine ip# des selben subnetzes wie der rest des netzwerkes). ein "ping umlguest" funktioniert allerdings nicht. (am host wurde wie in den docs angeführt Code: | # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward | ausgeführt.
wie komm ich jetzt von meinem arbeitsplatzrechner oder irgendeinem anderen aus dem subnetz auf den umlguest? _________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. |
|
Back to top |
|
|
andix Apprentice
Joined: 10 Jul 2004 Posts: 263 Location: Eisenstadt, Austria
|
Posted: Fri Dec 23, 2005 4:29 pm Post subject: |
|
|
ad 2:
Ich glaube dazu musst du die Routing-Tables (auf allen Computern in deinem Netzwerk!) anpassen und forwarding auf dem Host aktivieren. |
|
Back to top |
|
|
ro Apprentice
Joined: 28 Mar 2003 Posts: 289
|
Posted: Fri Dec 23, 2005 6:25 pm Post subject: |
|
|
bingo! jep, auf einem rechner im netzwerk reicht ein simples Code: | route add -host 192.168.1.102 gw 192.168.1.254 |
_________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. |
|
Back to top |
|
|
ro Apprentice
Joined: 28 Mar 2003 Posts: 289
|
Posted: Sun Dec 25, 2005 4:36 pm Post subject: |
|
|
so, da wär ich wieder mit ein paar fragen:
1.) ich hab performance-probleme. Das system ist ein p3-450mhz, Ram: 128M für das Host-System und 256M für das Guest System. Der Skas-Patch ist im host-kernel, das guest-system arbeitet mit skas3. jetzt dauert aber ein "emerge reiserfsprogs" am guest-system:
real 12m13.974s
user 2m40.480s
sys 2m33.030s
und am host-system:
real 3m36.429s
user 3m0.483s
sys 0m25.142s
woran kann das liegen bzw. wie kann ich das problem eliminieren?
2.) ich hab jetzt wie schon erwähnt das routing geändert. aber wenn auf dem UML-sysem der dhcp-server lauft, funktioniert das (adresszuweisung) noch?
3.) Für den WLAN-Accesspoint plane ich den Einsatz von wpa. Hat jemand nen link für ne gute doku? (bis jetzt hat ssh über ein unverschlüsseltes netz gereicht, aber jetzt kommen windows-kisten dazu _________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. |
|
Back to top |
|
|
ro Apprentice
Joined: 28 Mar 2003 Posts: 289
|
Posted: Tue Dec 27, 2005 2:37 pm Post subject: |
|
|
aufgrund der performance-probleme beim kompilieren werde ich das ganze vorläufig ohne UML realisieren...und erst wenn alles fertig konfiguriert ist umstellen.
Ich hab jetzt den http-proxy so eingestellt, dass er alle dateien die runtergeladen werden nach viren durchsucht (funktioniert erstaunlich gut,unsere windows-user sind zufrieden). Gibt es da auch sowas wie nen pop-proxy bzw. nen smtp-proxy, mit dem ich das selbe machen kann? (bsp: sodass alle versuchten pop-zugriffe nach aussen auf den proxy geleitet werden und der das übernimmt, nur dass halt mails auf viren und evtl. spam untersucht werden) _________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
|
Back to top |
|
|
|