Számos opció állítható be a jaileknél, és sokféle módon vegyíthetjük a befogadó FreeBSD rendszerünket a jailekkel, ami által magasabb szintű alkalmazásokat hozhatunk létre. Ebben a részben bemutatunk:
Néhány olyan beállítást, amellyel finomhangolhatjuk a telepített jailek által megvalósított biztonsági megszorítások viselkedését.
A jailek kezelésére alkalmas néhány olyan magasabb szintű alkalmazást, amelyek elérhetőek a FreeBSD Portgyűjteményén keresztül, és általános jail alapú megoldások kialakításához használhatóak.
A jailek beállításainak
finomhangolását túlnyomórészt
sysctl(8) változókkal végezhetjük
el. A sysctl-en belül egy speciális
részfában találhatunk erre alkalmas
beállításokat: ez a a FreeBSD rendszermag
opciói között megtalálható
security.jail.*
. Itt közüljük
a jailekre vonatkozó fontosabb sysctl
változók listáját, az
alapértelmezett értékeikkel együtt. A
nevek minden bizonnyal sokat elárulnak, de ha többet
szeretnénk tudni róluk, lapozzuk fel a
jail(8) és sysctl(8) man oldalakat.
security.jail.set_hostname_allowed:
1
security.jail.socket_unixiproute_only:
1
security.jail.sysvipc_allowed:
0
security.jail.enforce_statfs:
2
security.jail.allow_raw_sockets:
0
security.jail.chflags_allowed:
0
security.jail.jailed: 0
Ezekkel a változókkal a
befogadó rendszer
rendszergazdája tud hozzátenni vagy elvenni a
root felhasználó
alapértelmezett határaihoz. Vegyük azonban
észre, hogy egyes korlátozások azonban
semmiképpen sem szüntethetőek meg. A
root nem csatlakoztathat és
választhat le állományrendszereket a
jail(8) környezetben. Az elzárt
root nem tölthet be és
törölhet devfs(8) szabályrendszereket,
tűzfal szabályokat sem, ill. nem végezhet
semmilyen olyan bármilyen más karbantartási
feladatot, amely a rendszermag adataiban
módosítást vonna maga után,
például nem állíthatja a rendszermag
securelevel
(biztonsági
szintjének) értékét.
A FreeBSD alaprendszere tartalmazza azokat a segédeszközöket, amelyekkel a rendszerben aktív jailek információt tudjuk megjeleníteni, vagy csatlakozni tudunk hozzájuk. A jls(8) és jexec(8) parancsok részei az alap FreeBSD rendszernek, segítségükkel elvégezhetőek az alábbi egyszerű feladatokat:
Ki tudjuk íratni az aktív jailek és hozzájuk tartozó azonosítókat (JID-eket), IP-címeket, neveket és útvonalakat.
A befogadó rendszerből hozzá tudunk csatlakozni egy futó jailhez, és parancsokat tudunk futtatni a jailen belül vagy karbantartási feladatokat tudunk elvégezni magán a jailen belül. Ez különösen hasznosnak bizonyulhat, amikor a root felhasználó szabályosan le akarja állítani a jailt. A jexec(8) segédprogrammal el tudunk indítani egy parancsértelmezőt a jailen belül, amiből aztán irányíthatjuk. Példa:
# jexec 1 tcsh
A sok külső karbantartó eszköz közül az egyik legteljesebb és leghasznosabb a sysutils/jailutils. Sok kisebb alkalmazást tartalmaz, melyek kibővítik a jail(8) irányíthatóságát. Bővebb információkért kérjük, látogassa meg a hozzátartozó honlapot.
Ha kérdése van a FreeBSD-vel kapcsolatban, a következő
címre írhat (angolul): <freebsd-questions@FreeBSD.org>.
Ha ezzel a dokumentummal kapcsolatban van kérdése,
kérjük erre a címre írjon: <gabor@FreeBSD.org>.