我使用FreeBSD和ZFS来运行几个jail。 对于监狱pipe理我使用ezjail ,我有一个模板监狱,我用于configuration。
我想在所有的监狱和主机上共享passwd,组和身份validation信息。 对于监狱它可以是只读的。
是否有一些机制可以共享主机passwd,组等,没有任何复杂的系统如LDAP / NIS /等?
LDAP或NIS是正确的解决scheme – 其实并没有那么复杂,你应该花一天时间学习两种方法(每天大概需要半天的时间才能掌握基础知识),如果你购买了O'Reilly NIS书籍和LDAP书籍 ,
这里最大的好处是可以集中一些帐户(pipe理访问/支持用户),在每个监狱基础上授权他人,并且在特定的机器上仍然有本地用户。
如果你真的对LDAP或NIS无能为力,那么最好的办法是使用Puppet,Chef,Radmind或类似的方式来更新passwd和group文件 – 你可以自动同步身份validation/授权文件作为网站的一部分整个部署过程。
自动部署工具有其自身的复杂性问题,但也带来了一些可能使其适合于您的环境的好处
下一步是主机系统上的cron作业,它在设定的时间将标准passwd和group文件复制到每个监狱。 这是最简单的解决scheme,运行得非常好,尽pipe手动复制文件只是一小步。
你可以尝试硬连接( ln(1) )。
如果我没有记错的话,那么ezjail会在默认的监狱中设置很多目录和文件,这些目录和文件在其他监狱中共享。 我想你也可以把用户放在那里。 也许这是一个分析,然后手动工作。
但说实话,我认为这会破坏你的监狱安全。 我通常会build立一个监狱,尽可能隔离。