FreeBSD Jail ( eng. jail - "vankila") on FreeBSD -järjestelmän virtualisointimekanismi , jonka avulla voit luoda useita itsenäisesti toimivia FreeBSD:itä samaan käyttöjärjestelmän ytimeen, mutta täysin itsenäisesti konfiguroituna erillisellä asennettujen sovellusten sarjalla yhdessä FreeBSD-käyttöjärjestelmässä. järjestelmä.
FreeBSD Jail perustuu chroot(2) -järjestelmäkutsuun , jossa nykyisen prosessin ja sen kaikkien jälkeläisten juurihakemisto siirretään tiettyyn paikkaan tiedostojärjestelmässä . Tästä sijainnista tulee prosessin juurihakemisto. Siten hiekkalaatikkoprosessi voi käyttää vain alla olevaa hakemistopuuta.
FreeBSD Jaililla on kuitenkin myös ydintuki , jonka avulla voit rajoittaa pääsyä verkkoon, jaettuun muistiin, sysctl - ytimen muuttujiin ja rajoittaa prosessien näkyvyyttä vankilan ulkopuolella.
Vangittu prosessi voi käyttää vain tiettyjä käyttöjärjestelmän IP-osoitteita ja käyttää tiettyä isäntänimeä . Tällaista prosessia kutsutaan "eristetyksi prosessiksi" tai "vangituksi prosessiksi".
Näin syntyy turvallinen "häkki", jonka sisällä voidaan suorittaa jopa mahdollisesti vaarallisia ohjelmistoja, jotka eivät voi vahingoittaa pääjärjestelmää tai muita vastaavia "häkkejä" millään tavalla. Ennen versiota 9.0-RELEASE FreeBSD Jaililla ei ollut resurssien käytön hallintaa (kuten esimerkiksi OpenVZ Linuxissa ). Versiosta 9.0-RELEASE lähtien samanlaisia mekanismeja on otettu käyttöön rctl(8)-apuohjelman ja RACCT - kehyksen kautta .
Järjestelmän sysctl - tasolla Jailed-prosessien oikeudet määritetään:
| sysctl-tunniste | Ohjattu toiminnallisuus |
|---|---|
| security.jail.chflags_allowed | Mahdollisuus muuttaa järjestelmätiedostojen lippuja |
| security.jail.allow_raw_sockets | Mahdollisuus luoda matalan tason pistorasiat |
| security.jail.sysvipc_allowed | Mahdollisuus käyttää System V IPC:tä |
| security.jail.set_hostname_allowed | Mahdollisuus asettaa oma isäntänimesi vangittujen prosessien sisällä (yleensä isäntänimi asetetaan vankilaan kutsuttaessa) |
| security.jail.enforce_statfs | Mahdollisuus nähdä kaikki asennetut tiedostojärjestelmät vangittujen prosessien sisällä |
| security.jail.socket_unixiproute_only | Rajoitus mahdollisuudelle luoda UNIX/IPv4/route-pistokkeita |
| security.jail.list | Luettelo käynnissä olevista vankiloista |
Yleisin FreeBSD Jailin käyttö on eristettyjen, suojattujen virtuaalikoneiden luominen. Tässä tapauksessa jail(8) suorittaa alustuskomentosarjan /etc/rc , joka käynnistää erillisen erillisen virtuaalijärjestelmän käynnistämisen. Mikäli virtuaalisen järjestelmän tuhoisinkin hakkerointi ja sen toiminnallisuus poistetaan käytöstä, se ei vaikuta muihin käynnissä oleviin virtuaalijärjestelmiin.
Isännöintipalveluntarjoajien käytännössä vankilamekanismia voidaan käyttää hallittujen järjestelmien rakentamiseen omistetuille palvelimille . Tässä vaihtoehdossa asiakkaalle annetaan pääsy vain vankilaan ja palveluntarjoajan tekniselle henkilökunnalle pääjärjestelmään.
FreeBSD Jail, kun sitä käytetään virtuaalikoneena mielivaltaisten ohjelmistojen ajamiseen, vaatii täydellisen järjestelmäympäristöemuloinnin, mukaan lukien:
Jokainen isäntäjärjestelmän virtuaalikone (ennen FreeBSD 7.2:ta) vaatii välttämättä yhden IP-osoitteen toimiakseen. On myös mahdollista käyttää samaa IP-osoitetta useille koneille, mutta näiden virtuaalikoneiden palvelut eivät saa käyttää samoja TCP/UDP-portteja .
FreeBSD 8.0:sta alkaen kullekin virtuaalikoneelle voidaan määrittää useita IP-osoitteita.
Lisätietoja FreeBSD Jailin asentamisesta ja käyttämisestä on jail(8) -man sivuilla tai virallisessa dokumentaatiossa. [yksi]
add path 'bpf*' unhide
| Emulointi - ja virtualisointiohjelmistot ( vertailu ) _ | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Sovelluskerros |
| ||||||||||||||
| OS- taso (säilöt) |
| ||||||||||||||
| Laitteistotaso _ |
| ||||||||||||||
| Verkon virtualisointi |
| ||||||||||||||
| FreeBSD-projekti | ||
|---|---|---|
| Ihmiset |
| |
| Johdannaisprojektit _ |
| |
| Muut projektit | ||