17.1.概述
最后更新于
这有帮助吗?
最后更新于
这有帮助吗?
由于系统管理是一项复杂的任务,已经开发出许多工具以简化管理员的工作。这些工具常常用于改进系统的安装、配置和维护方式。其中一个可以用来增强 FreeBSD 系统安全性的工具就是 jail。从 FreeBSD 4.X 开始,jail 功能就已提供,并且在其实用性、性能、可靠性和安全性方面不断得到增强。
jail 建立在 的概念之上,chroot 用于更改一组进程的根目录。这种方式创建了一个与系统其余部分隔离的安全环境。在 chroot 环境中创建的进程无法访问其外部的文件或资源。因此,若某个运行在 chroot 环境中的服务被攻破,攻击者通常无法攻破整个系统。
然而,chroot 存在若干限制。它只适合一些简单任务,不适用于需要较强灵活性或高级特性的复杂场景。随着时间推移,人们发现了多种从 chroot 环境中逃逸的方法,这使得它不再是保护服务安全的理想方案。
jail 在多个方面改进了传统 chroot 环境的概念。
在传统 chroot 环境中,进程只在文件系统的可访问范围内受到限制。而系统的其他资源、系统用户、运行中的进程以及网络子系统,则是 chroot 进程与宿主系统进程共享的。jail 扩展了这一模型,虚拟化了对文件系统、用户集合和网络子系统的访问。它提供了更细粒度的控制,用于调整 jail 环境的访问权限。jail 可以被视为一种操作系统层级的虚拟化技术。
本章内容包括:
jail 是什么,以及它在 FreeBSD 安装中的用途;
不同类型的 jail;
配置 jail 网络的不同方法;
jail 配置文件;
如何创建不同类型的 jail;
如何启动、停止和重启 jail;
从 jail 内部与外部进行管理的基础知识;
如何升级不同类型的 jail;
FreeBSD jail 管理工具的不完全列表。