Υπάρχουν αρκετές επιλογές που μπορούν να εφαρμοστούν σε ένα jail, καθώς και διάφοροι τρόποι για να συνδυαστεί ένα σύστημα FreeBSD με jails προκειμένου να παράγουν εφαρμογές υψηλότερου επιπέδου. Η ενότητα αυτή παρουσιάζει:
Μερικές από τις διαθέσιμες επιλογές για την ρύθμιση της συμπεριφοράς και των περιορισμών ασφαλείας που υλοποιούνται από την εγκατάσταση ενός jail.
Μερικές εφαρμογές υψηλού επιπέδου για τη διαχείριση jails, οι οποίες είναι διαθέσιμες μέσω της συλλογής των Ports του FreeBSD και μπορούν να χρησιμοποιηθούν στην υλοποίηση ολοκληρωμένων λύσεων με τη χρήση jails.
Λεπτομερής ρύθμιση ενός jail γίνεται κατά κύριο λόγο μέσω των μεταβλητών του sysctl(8). Υπάρχει ένα
ειδικό subtree του sysctl το οποίο αποτελεί τη βάση για την οργάνωση όλων των σχετικών
επιλογών: πρόκειται για την ιεραρχία επιλογών πυρήνα security.jail.*
. Παρακάτω θα βρείτε μια λίστα με τα κύρια sysctl
που σχετίζονται με κάποιο jail καθώς και τις προεπιλεγμένες τιμές τους. Τα ονόματα μάλλον
εξηγούν από μόνα τους την αντίστοιχη λειτουργία, αλλά για περισσότερες πληροφορίες
μπορείτε να δείτε τις σελίδες βοήθειας των jail(8) και sysctl(8).
security.jail.set_hostname_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.sysvipc_allowed: 0
security.jail.enforce_statfs: 2
security.jail.allow_raw_sockets: 0
security.jail.chflags_allowed: 0
security.jail.jailed: 0
Οι μεταβλητές αυτές μπορούν να χρησιμοποιηθούν από τον διαχειριστή του host system προκειμένου να προσθέσει ή να
αφαιρέσει περιορισμούς οι οποίοι υπάρχουν αρχικά στον χρήστη root. Υπάρχουν όμως και κάποιοι περιορισμοί οι οποίοι δεν μπορούν
να αφαιρεθούν. Ο χρήστης root δεν επιτρέπεται να προσαρτά ή να
απο-προσαρτά συστήματα αρχείων μέσα από ένα jail(8). Ο root μέσα σε ένα jail δεν επιτρέπεται να φορτώσει ή να αποφορτώσει
τους κανόνες (rulesets) του devfs(8), το firewall,
και διάφορες άλλες εργασίες διαχείρισης οι οποίες χρειάζονται τροποποίηση των δεδομένων
του πυρήνα, όπως για παράδειγμα ο ορισμός του securelevel
του πυρήνα.
Το βασικό σύστημα του FreeBSD περιέχει τα βασικά εργαλεία για τη προβολή πληροφοριών σχετικά με τα ενεργά jails, και επίσης για την ανάθεση συγκεκριμένων εντολών διαχείρισης σε κάποιο jail. Οι εντολές jls(8) και jexec(8) αποτελούν μέρος του βασικού συστήματος του FreeBSD, και μπορούν να χρησιμοποιηθούν για να τις παρακάτω απλές εργασίες:
Προβολή λίστας των ενεργών jails και τον αντίστοιχων χαρακτηριστικών τους - jail identifier (JID), διεύθυνση IP, hostname και path.
Προσκόλληση σε κάποιο ενεργό jail, από το host system, και εκτέλεση κάποιας εντολής μέσα στο jail ή εκτέλεση εργασιών διαχείρισης μέσα στο jail. Κάτι τέτοιο είναι ιδιαίτερα χρήσιμο όταν ο χρήστης root επιθυμεί να τερματίσει με ασφάλεια κάποιο jail. Μπορεί επίσης να χρησιμοποιηθεί η εντολή jexec(8) για την εκτέλεση κάποιου shell μέσα στο jail προκειμένου να εκτελεστούν εργασίες διαχείρισης, για παράδειγμα:
# jexec 1 tcsh
Ανάμεσα στις διάφορες εφαρμογές τρίτων κατασκευαστών για τη διαχείριση των jails, ένα από τα ποιο ολοκληρωμένα και χρήσιμα πακέτα είναι το sysutils/jailutils. Αποτελεί ένα σύνολο μικρών εφαρμογών οι οποίες συνεισφέρουν στη διαχείριση του jail(8). Για περισσότερες πληροφορίες, δείτε στον δικτυακό του τόπο.
Αυτό το κείμενο, και άλλα κείμενα, μπορεί να βρεθεί στο ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Για ερωτήσεις σχετικά με το FreeBSD, διαβάστε την τεκμηρίωση πριν να επικοινωνήσετε με την
<questions@FreeBSD.org>.
Για ερωτήσεις σχετικά με αυτή την τεκμηρίωση, στείλτε e-mail στην <doc@FreeBSD.org>.