有些系統管理者把 jail 分為下列兩種:“complete(完全)” jail —— 通常包括完整的 FreeBSD 系統;另一種則為 “service(服務)” jail —— 專門只跑某單一可能要用特殊權限的程式或 service。 這只是一種概念上的區分 ,並不影響如何建立 jail 的過程。 至於如何建立 jail 在 jail(8) 內有更詳細的說明:
# setenv D /here/is/the/jail # mkdir -p $D # cd /usr/src # make world DESTDIR=$D # cd etc/ [1] # make distribution DESTDIR=$D # mount -t devfs $D/dev
裝好 jail 之後,就可以用 jail(8) 工具。 jail(8)
需要四項必填參數,這些參數在 Section 15.3.1
有介紹過。 除了這四個參數之外,還可以指定其他參數,像是以特定帳號在 jail 中執行 process。
command
參數取決於 jail
類型而定;對於 virtual
system(虛擬系統) ,那麼就選擇 /etc/rc,
因為它會完成真正 FreeBSD 系統啟動所需的操作。 對於 service(服務) jail 而言,執行的指令取決於將在 jail 內執行的
service 或應用程式而定。
Jail 通常要在系統開機時啟動,因此 FreeBSD 的 rc 機制提供一些便利的方式來簡化這些工作:
開機時要啟動的 jail 清單要加到 rc.conf(5) 設定檔:
jail_enable="YES" # 若設為 NO 則表示不自動啟動 jail jail_list="www" # 若有許多 jail 則請以空白隔開來寫
對於每一筆在 jail_list
所列出的 jail, 也要在 rc.conf(5)
做出相對應的設定:
jail_www_rootdir="/usr/jail/www" # jail 的根目錄 jail_www_hostname="www.example.org" # jail 的 hostname jail_www_ip="192.168.0.10" # jail 的 IP address jail_www_devfs_enable="YES" # 在 jail 內 mount devfs jail_www_devfs_ruleset="www_ruleset" # jail 內所用的 devfs 規則表
在 rc.conf(5) 所預設的
jail 啟動設定會跑 /etc/rc 內的 jail script,也就是說會假設 jail
是完整的虛擬系統。 若要用 service jail 類型,則要另外指定啟動指令, 方法是設定對應的
jail_jailname_exec_start
設定。
Note: 若欲知道所有可用的選項清單,請參閱 rc.conf(5) 說明。
也可以透過手動執行 /etc/rc.d/jail script 來啟動或停止 rc.conf 所設定的 jail:
# /etc/rc.d/jail start www # /etc/rc.d/jail stop www
目前尚無任何方法來很乾淨地關閉 jail(8)。 此乃因為正常用來關閉系統的指令,目前尚不能在 jail 中使用。 目前關閉 jail 最佳的方式,是在 jail 內執行下列指令,或者 jail 外面透過 jexec(8) 執行下列指令:
# sh /etc/rc.shutdown
詳情請參閱 jail(8) 說明。
[1] |
FreeBSD 6.0(含) 之後就不需這步驟。 |
本文及其他文件,可由此下載:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/。
若有 FreeBSD 方面疑問,請先閱讀 FreeBSD 相關文件,如不能解決的話,再洽詢
<questions@FreeBSD.org>。
關於本文件的問題,請洽詢 <doc@FreeBSD.org>。