17.1.概述

由于系统管理是一项复杂的任务，已经开发出许多工具以简化管理员的工作。这些工具常常用于改进系统的安装、配置和维护方式。其中一个可以用来增强 FreeBSD 系统安全性的工具就是 jail。从 FreeBSD 4.X 开始，jail 功能就已提供，并且在其实用性、性能、可靠性和安全性方面不断得到增强。

jail 建立在 的概念之上，chroot 用于更改一组进程的根目录。这种方式创建了一个与系统其余部分隔离的安全环境。在 chroot 环境中创建的进程无法访问其外部的文件或资源。因此，若某个运行在 chroot 环境中的服务被攻破，攻击者通常无法攻破整个系统。

然而，chroot 存在若干限制。它只适合一些简单任务，不适用于需要较强灵活性或高级特性的复杂场景。随着时间推移，人们发现了多种从 chroot 环境中逃逸的方法，这使得它不再是保护服务安全的理想方案。

jail 在多个方面改进了传统 chroot 环境的概念。

在传统 chroot 环境中，进程只在文件系统的可访问范围内受到限制。而系统的其他资源、系统用户、运行中的进程以及网络子系统，则是 chroot 进程与宿主系统进程共享的。jail 扩展了这一模型，虚拟化了对文件系统、用户集合和网络子系统的访问。它提供了更细粒度的控制，用于调整 jail 环境的访问权限。jail 可以被视为一种操作系统层级的虚拟化技术。

本章内容包括：

• jail 是什么，以及它在 FreeBSD 安装中的用途；

• 不同类型的 jail；

• 配置 jail 网络的不同方法；

• jail 配置文件；

• 如何创建不同类型的 jail；

• 如何启动、停止和重启 jail；

• 从 jail 内部与外部进行管理的基础知识；

• 如何升级不同类型的 jail；

• FreeBSD jail 管理工具的不完全列表。