17.1.概述

由于系统管理是一项困难的任务，因此开发了许多工具，以使管理员的生活更轻松。这些工具通常改善系统安装、配置和维护的方式。用于增强 FreeBSD 系统安全性的工具之一是 jail。Jails 自 FreeBSD 4.X 以来就可用，并在其有用性、性能、可靠性和安全性方面不断得到加强。

Jails 在 chroot(2) 概念基础上构建，该概念用于改变一组进程的根目录。这创建了一个安全环境，与系统的其他部分分开。在 chroot 环境中创建的进程无法访问其外部的文件或资源。因此，在 chroot 环境中运行的服务受到损害不应能让攻击者危害整个系统。

然而，chroot 有几个限制。它适用于不需要太多灵活性或复杂高级功能的简单任务。随着时间的推移，人们发现了许多逃离 chroot 环境的方法，使其成为保护服务的不太理想的解决方案。

Jails 在几个方面改进了传统 chroot 环境的概念。

在传统的 chroot 环境中，进程仅受限于它们可以访问的文件系统的部分。系统的其他资源、系统用户、运行中的进程和网络子系统由 chrooted 进程和主机系统的进程共享。Jails 通过将对文件系统、用户集和网络子系统的访问虚拟化来扩展此模型。对于调整受监禁环境访问权限，可以使用更精细的控件。Jails 可以被视为一种类型的操作系统级虚拟化。

本章内容包括：

• 什么是 jail，以及它在 FreeBSD 安装中可能发挥的作用。

• 不同种类的jail。

• 配置网络的不同方法jail。

• jail配置文件。

• 如何创建不同类型的jail。

• 如何启动、停止和重启jail。

• jail管理的基础知识，无论是从内部还是从外部jail。

• 如何升级不同类型的jail。

• FreeBSD 不同jail管理器的不完整列表。