17.1.概述
由于系统管理是一项困难的任务,因此开发了许多工具,以使管理员的生活更轻松。这些工具通常改善系统安装、配置和维护的方式。用于增强 FreeBSD 系统安全性的工具之一是 jail。Jails 自 FreeBSD 4.X 以来就可用,并在其有用性、性能、可靠性和安全性方面不断得到加强。
Jails 在 chroot(2) 概念基础上构建,该概念用于改变一组进程的根目录。这创建了一个安全环境,与系统的其他部分分开。在 chroot 环境中创建的进程无法访问其外部的文件或资源。因此,在 chroot 环境中运行的服务受到损害不应能让攻击者危害整个系统。
然而,chroot 有几个限制。它适用于不需要太多灵活性或复杂高级功能的简单任务。随着时间的推移,人们发现了许多逃离 chroot 环境的方法,使其成为保护服务的不太理想的解决方案。
Jails 在几个方面改进了传统 chroot 环境的概念。
在传统的 chroot 环境中,进程仅受限于它们可以访问的文件系统的部分。系统的其他资源、系统用户、运行中的进程和网络子系统由 chrooted 进程和主机系统的进程共享。Jails 通过将对文件系统、用户集和网络子系统的访问虚拟化来扩展此模型。对于调整受监禁环境访问权限,可以使用更精细的控件。Jails 可以被视为一种类型的操作系统级虚拟化。
本章内容包括:
什么是 jail,以及它在 FreeBSD 安装中可能发挥的作用。
不同种类的jail。
配置网络的不同方法jail。
jail配置文件。
如何创建不同类型的jail。
如何启动、停止和重启jail。
jail管理的基础知识,无论是从内部还是从外部jail。
如何升级不同类型的jail。
FreeBSD 不同jail管理器的不完整列表。
最后更新于