一个小公司的 Freebsd 监狱 - 清单 - 什么不应该忘记

Question

寻找“小型公司 freebsd/jail 服务器”的清单。

有一个非常共同的起点：

• 公司的 FreeBSD 监狱（远程/无头）：
  • 公共网络、电子邮件、ftp 服务器和
  • 私人（可能在未来部分公开） wiki (foswiki)
• 4 个自然人，（6 个电子邮件地址）+ 一个管理员 - 其他人永远不会使用 ssh）
• 已经在主机端进行了通常的强化（如 pf、sshguard 等）。
• 我的主要组件是：dovecot、exim、apache22、proftpd、perl5.14。

寻找清单，我不应该忘记的东西。我现在的计划包括：

• 用于 exim、dovecot 和 proftpd（通配符密钥）的 openssl 自签名证书
• apache 的 openssl 自签名证书（稍后将用于“可信签名”密钥）
• 用户帐号

但还有其他建议吗？

有关的：

• 对于 FreeBSD 服务器，您建议的邮件服务器配置是什么？

Answer 1

这确实是经典的虚拟服务器问题之一 - 唯一的区别是你说的是“jail”而不是“VM”。
如果您从问题中删除“监狱”一词，您知道该怎么办吗？（如果是这样，你可以停止阅读:-)

根据定义，特定的检查表过于本地化，无法回答服务器故障——它与您的环境密切相关。我可以告诉你，设置监狱的清单应该与设置服务器的清单几乎相同（需要注意的是，你不会做任何与内核相关的事情，并且添加了一些特定于监狱的内容）您应该已经熟悉的步骤——如果不是的话，FreeBSD 手册有一个相当全面的 Jails 章节应该涵盖它。）

您是否已经有设置常规服务器的清单？
如果没有，它应该包括以下内容：

• 添加本地用户帐户
• 安装常用包
• 设置网络用户帐户（NIS、LDAP 等）（如果您使用）
• 应用本地配置（NTP、DNS 等）
• 设置和配置您要运行的服务器（Web、邮件等）

您的完整清单可能还包括一些与监狱无关的内容，例如：

• 对磁盘进行分区（通常监狱是整体的，尽管其他配置也是可能的）
• 安装自定义内核/配置可加载模块
• 配置 IPMI 或其他无人值守管理控制器

您通常会在主机上执行此操作，就像在任何其他系统上执行的操作一样。

写下您为下一个服务器构建所做的事情。
如果您错过了某些内容，请在修复时将其添加到列表中。

最终，您将拥有一份全面的、特定于站点的清单（可能有几个。我有一个用于 Web 服务器，一个用于数据库服务器，一个用于邮件服务器......）。