Ci sono molte opzioni che possono essere impostate per ogni jail, e molti modi di combinare un sistema FreeBSD con le jail, per produrre applicazioni di alto livello. Questa sezione presenta:
Alcune delle opzioni disponibili per impostare il comportamento e le restrizioni di sicurezza implementate da una installazione di una jail.
Alcune degli applicativi di alto livello per la gestione delle jail, che sono disponibili attraverso la Collezione dei Port di FreeBSD, e possono essere usate per implementare soluzioni complete basate sulle jail.
La messa a punto di una configurazione di una jail è principalmente fatta
settando variabili sysctl(8). Esiste un
sotto-ramo speciale di sysctl con tutte le opzioni del caso: la gerarchia security.jail.*
delle opzioni del kernel di FreeBSD. Qui
c'è una lista delle principali opzioni di sysctl relative alle jail, con il loro
valori di default. I nomi dovrebbero essere auto esplicativi, ma per maggiori
informazioni riguardo questi, per favore fai riferimento alle pagine man jail(8) e sysctl(8).
security.jail.set_hostname_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.sysvipc_allowed: 0
security.jail.enforce_statfs: 2
security.jail.allow_raw_sockets: 0
security.jail.chflags_allowed: 0
security.jail.jailed: 0
Queste variabili possono essere usate dall'amministratore di sistema del sistema host per aggiungere o rimuovere
alcune delle limitazioni imposte di default all'utente root.
Nota che ci sono alcune limitazioni che non possono essere rimosse. L'utente root non ha il permesso di montare o smontare file system
all'interno della jail(8). L'utente root all'interno della jail non può caricare o scaricare
regole di devfs(8), impostare
regole del firewall, o compiere molti altri compiti di amministrazione che richiedono
modifiche in kernel, come impostare il securelevel
del
kernel.
Il sistema base di FreeBSD contiene un insieme di base di strumenti per vedere informazioni a proposito delle jail attive, e per attaccarsi ad una jail per eseguire compiti amministrativi. Il comando jail(8) e jexec(8) sono parte del sistema base di FreeBSD, e possono essere usati per eseguire i seguenti semplici compiti:
Stampa una lista di jail attive e i loro corrispondenti identificativi di jail (JID), indirizzo IP, nome host e percorso.
Attaccarsi ad una jail in esecuzione, dal suo sistema host, ed eseguire un comando o compiti amministrativi dall'interno della jail stessa. Questo è specialmente utile quando l'utente root vuole spegnere in modo pulito una jail. L'utility jexec(8) può anche essere usata per avviare una shell in una jail per fare dell'amministrazione; ad esempio:
# jexec 1 tcsh
Fra le tante utility di terze parti per l'amministrazione delle jail, uno dei più completi ed utili è sysutils/jailutils. È un insieme di piccoli applicativi che contribuiscono alla gestione delle jail(8). Per favore fai riferimento alla corrispondente pagina web per maggiori informazioni.
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.