From nobody Thu Sep 15 03:28:48 2022 X-Original-To: freebsd-users-jp@mlmmj.nyi.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mlmmj.nyi.freebsd.org (Postfix) with ESMTP id 4MSjNQ5Q0xz4bmHQ for ; Thu, 15 Sep 2022 03:28:54 +0000 (UTC) (envelope-from masa-ml@matsu-ho.jp) Received: from www696.sakura.ne.jp (www696.sakura.ne.jp [59.106.19.146]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 4MSjNP1wvWz4GJ8 for ; Thu, 15 Sep 2022 03:28:53 +0000 (UTC) (envelope-from masa-ml@matsu-ho.jp) Received: from [192.168.157.97] (84.23.31.150.dy.iij4u.or.jp [150.31.23.84]) (authenticated bits=0) by www696.sakura.ne.jp (8.15.2/8.15.2) with ESMTPA id 28F3Smek091933 for ; Thu, 15 Sep 2022 12:28:48 +0900 (JST) (envelope-from masa-ml@matsu-ho.jp) List-Id: Discussion relevant to FreeBSD communities in Japan List-Archive: https://lists.freebsd.org/archives/freebsd-users-jp List-Help: List-Post: List-Subscribe: List-Unsubscribe: Sender: owner-freebsd-users-jp@freebsd.org X-BeenThere: freebsd-users-jp@freebsd.org MIME-Version: 1.0 Date: Thu, 15 Sep 2022 12:28:48 +0900 Message-ID: Subject: =?ISO-2022-JP?B?UmU6IGlvY2FnZRskQiROGyhCSVAbJEIkTjVzRjAbKEI=?= In-Reply-To: <20220915113851.179A.83D51AB2@meiko.co.jp> References: <20220915113851.179A.83D51AB2@meiko.co.jp> From: MATSUMOTO Masayoshi To: freebsd-users-jp@FreeBSD.org X-Mailer: JsvMail 14.0 (Shuriken 2016) Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Rspamd-Queue-Id: 4MSjNP1wvWz4GJ8 X-Spamd-Bar: --- Authentication-Results: mx1.freebsd.org; dkim=none; dmarc=none; spf=pass (mx1.freebsd.org: domain of masa-ml@matsu-ho.jp designates 59.106.19.146 as permitted sender) smtp.mailfrom=masa-ml@matsu-ho.jp X-Spamd-Result: default: False [-3.30 / 15.00]; NEURAL_HAM_LONG(-1.00)[-1.000]; NEURAL_HAM_MEDIUM(-1.00)[-1.000]; NEURAL_HAM_SHORT(-1.00)[-1.000]; R_SPF_ALLOW(-0.20)[+a:www696.sakura.ne.jp]; MIME_GOOD(-0.10)[text/plain]; FROM_EQ_ENVFROM(0.00)[]; ASN(0.00)[asn:9370, ipnet:59.106.0.0/17, country:JP]; R_DKIM_NA(0.00)[]; MLMMJ_DEST(0.00)[freebsd-users-jp@FreeBSD.org]; MIME_TRACE(0.00)[0:+]; DMARC_NA(0.00)[matsu-ho.jp]; RCVD_TLS_LAST(0.00)[]; RCPT_COUNT_ONE(0.00)[1]; ARC_NA(0.00)[]; RCVD_VIA_SMTP_AUTH(0.00)[]; RCVD_COUNT_TWO(0.00)[2]; FROM_HAS_DN(0.00)[]; TO_DN_NONE(0.00)[]; TO_MATCH_ENVRCPT_ALL(0.00)[]; PREVIOUSLY_DELIVERED(0.00)[freebsd-users-jp@freebsd.org]; MID_RHS_MATCH_FROM(0.00)[] X-ThisMailContainsUnwantedMimeParts: N 松本です。 あぁ、なるほど。 jailer側が192.168.xxx.aaaだけでなく192.168.xxx.bbbのアドレスを 持っているということ自体を失念しておりました。 jailer(この用語自体知りませんでした)側で # sockstat -4 したらprisonerの待ち受けが全部出てきて、腑に落ちました。 ありがとうございました。 松本 将宜 Yoshihiro Hanahara さん: >花原です。 > >Jailを提供しているホスト環境を 「jailer」、 >そのホストに構築したjail環境を 「prisoner」と呼ぶとして、 > >jailerの環境で、sshd の設定ファイル「/etc/ssh/sshd_config」で、 >「ListenAddress」の設定をしていないのではないでしょうか? >つまり、以下のコメントアウトされたままではないですか? > > #ListenAddress 0.0.0.0 > #ListenAddress :: > >この状態だと、jailerのsshd は、すべてのネットワークインターフェイスにバ >インドします。 > > # sockstat -4 | grep sshd > >とすると、 > > .... > root sshd 1365 4 tcp4 *:22 *:* > >というような行がみつかるのではないでしょうか? >これは、PID 1365のsshdが 全てのIPアドレス:22ポート で 接続待ちしていると >いうことです。 > >解決策は、jailer 側の sshd_configで > > ListenAddress 192.168.xxx.aaa > >として、接続待ちIPアドレスを指定します。 >(prisoner側は、192.168.xxx.bbb のネットワークインターフェースしか見えて >ないだろうから、まあ指定しなくても特に問題はなさそうな気がする...) > >以下のURLも参考になると思います。 > > FreeBSD - Jailは仮想化ではなく半仮想化と呼ぶべきではないか > https://dankogai.livedoor.blog/archives/51916648.html > >まあ、Jail使いだした頃のあるあるネタなんだと思います。 > > >PS. >いまだに ezjail使ってるけど、iocage の方がいいかなぁ。 > >qjailは、VIMAGEつかうのに試しにつかってみたぐらい。 >MTUを変更してたら、なんかうまく動かなくて、パッチいれる必要が有ったりし >た記憶がある...。 > > >On Thu, 15 Sep 2022 06:11:09 +0900 >MATSUMOTO Masayoshi wrote: > >> 松本と申します >> >> 初めてiocageを導入してみて、あれっと思った挙動があったので >> >> ホストのIPが192.168.xxx.aaaで >> #iocage activate zpool >> #iocage create -r 13.1-RELEASE -n hogehoge >> #iocage set ip4_addr="re0|192.168.xxx.bbb/24" hogehoge >> として、hogehogeにいろいろ入れたあと >> 外部から192.168.xxx.bbbにnmapかけてみたのですが、 >> 22/tcpが空いているようでした。jail内でsshは有効にしてないのですが。 >> >> で、別PCから実際に叩いてみると、 >> >ssh fugafuga@192.168.xxx.bbb >> Password forなんちゃらで出てくるホスト名もJAIL外の名前で、fugafugaはホスト側のみのID >> jail外の環境にログインできちゃいました。なんじゃこれ? >> >> あと、iocage内でspamassassin-3.4.6、正確には下記サイト通りにでっち上げた >> ja-spamassassin-3.4.6の挙動もiocage外と違っていました。 >> https://qiita.com/false-git@github/items/0dbe59922a391e547ca5 >> >> そのままだとspamc使用時に/var/log/maillogに >> mail spamd[xxxxx]: spamd: unauthorized connection from 192.168.xxx.bbb [192.168.xxx.bbb]:xxxxx to port 783, fd 5 at /usr/local/bin/spamd line 1627. >> mail spamd[xxxxx]: prefork: child states: II >> がでてメールが素通しです。これに関しては/etc/rc.confで >> spamd_flags="-A 192.168.xxx.bbb" >> を付け加えることで解決しますが、隣ではiocage外、spamd_flags無しで動いてるサーバがあるんですよね。 >> >> 松本 将宜 > >-- >Yoshihiro Hanahara >