diff options
| author | Fukang Chen <loader@FreeBSD.org> | 2007-12-05 16:21:45 +0000 |
|---|---|---|
| committer | Fukang Chen <loader@FreeBSD.org> | 2007-12-05 16:21:45 +0000 |
| commit | db8218699d6f0504cd3a2abcc77a9e6b1a35eca8 (patch) | |
| tree | 368ae047ed1eebbbec2a8418f56eebb6475c51c3 /zh_CN.GB2312/books/handbook/jails | |
| parent | fb2532bb260a81970e77a261362073545d080c8f (diff) | |
Notes
Diffstat (limited to 'zh_CN.GB2312/books/handbook/jails')
| -rw-r--r-- | zh_CN.GB2312/books/handbook/jails/chapter.sgml | 30 |
1 files changed, 15 insertions, 15 deletions
diff --git a/zh_CN.GB2312/books/handbook/jails/chapter.sgml b/zh_CN.GB2312/books/handbook/jails/chapter.sgml index 8618ac4264..daac615954 100644 --- a/zh_CN.GB2312/books/handbook/jails/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/jails/chapter.sgml @@ -122,7 +122,7 @@ <para>&os; 系统提供的一项用于改善安全的工具就是 <emphasis>jail</emphasis>。 jail 是在 &os; 4.X 中由 &a.phk; 引入的, 它在 - &os; 5.X 中又进行了一系列改进, 使得它称为一个强大而灵活的系统。 + &os; 5.X 中又进行了一系列改进, 使得它成为了一个强大而灵活的系统。 目前仍然在对其进行持续的开发, 以提高其可用性、 性能和安全性。</para> <sect2 id="jails-what"> @@ -204,20 +204,20 @@ &prompt.root; <userinput>mkdir -p $D</userinput> <co id="jailpath"> &prompt.root; <userinput>cd /usr/src</userinput> &prompt.root; <userinput>make world DESTDIR=$D</userinput> <co id="jailworld"> -&prompt.root; <userinput>cd etc/</userinput> <footnote><para>This step -is not required on &os; 6.0 and later.</para></footnote> +&prompt.root; <userinput>cd etc/</userinput> <footnote><para>在 &os; 6.0 及 +之后的版本中不必须进行这个步骤。</para></footnote> &prompt.root; <userinput>make distribution DESTDIR=$D</userinput> <co id="jaildistrib"> &prompt.root; <userinput>mount_devfs devfs $D/dev</userinput> <co id="jaildevfs"></screen> <calloutlist> <callout arearefs="jailpath"> - <para>为 jail 选择一个位置是建立它的第一步。 这个路径是在宿主系统中 jail + <para>第一步就是为 jail 选择一个位置。 这个路径是在宿主系统中 jail 的物理位置。 一种常用的选择是 <filename role="directory">/usr/jail/<replaceable>jailname</replaceable></filename>, 此处 <replaceable>jailname</replaceable> 是 jail 的主机名。 <filename role="directory">/usr/</filename> 文件系统通常会有足够的空间来保存 jail 文件系统, 对于 <quote>完整</quote> 的 jail 而言, - 这通常包含 &os; 默认安装的基本系统中每个文件的副本。</para> + 它通常包含了 &os; 默认安装的基本系统中每个文件的副本。</para> </callout> <callout arearefs="jailworld"> @@ -236,7 +236,7 @@ is not required on &os; 6.0 and later.</para></footnote> </callout> <callout arearefs="jaildevfs"> - <para>在 jail 中挂接 &man.devfs.8; 文件系统并不是必需的。 + <para>在 jail 中不是必须要挂接 &man.devfs.8; 文件系统。 而另一方面, 几乎所有的应用程序都会需要访问至少一个设备, 这主要取决于应用程序的性质和目的。 控制 jail 中能够访问的设备非常重要, 因为不正确的配置, 很可能允许攻击者在 @@ -297,7 +297,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <screen>&prompt.root; <userinput>/etc/rc.d/jail start <replaceable>www</replaceable></userinput> &prompt.root; <userinput>/etc/rc.d/jail stop <replaceable>www</replaceable></userinput></screen> - <para>目前, 尚没有一项方法来很干净地关闭 &man.jail.8;。 + <para>目前, 尚没有一种方法来很干净地关闭 &man.jail.8;。 这是因为通常用于正常关闭系统的命令, 目前尚不能在 jail 中使用。 目前, 关闭 jail 最好的方式, 是在 jail 外通过 &man.jexec.8; 工具, 在 jail 中执行下列命令:</para> @@ -368,7 +368,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </listitem> </itemizedlist> - <para>系统管理员可以在中 <emphasis>宿主系统</emphasis> 中, + <para>系统管理员可以在 <emphasis>宿主系统</emphasis> 中, 透过设置这些变量的值来默认为 <username>root</username> 用户增加或取消限制。 需要注意的是, 某些限制是不能够取消的。 在 &man.jail.8; 中的 @@ -377,7 +377,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep &man.devfs.8; 规则集、 配置防火墙规则, 或执行其他需要修改内核数据的管理操作, 例如设置内核的 <varname>securelevel</varname> 等等。</para> - <para>&os; 的基本系统包含一系列用于查看目前在用的 jail 信息, 以及接入 + <para>&os; 的基本系统包含一系列用于查看目前在使用的 jail 信息, 以及接入 jail 并执行管理命令所需的基本工具。 &man.jls.8; 和 &man.jexec.8; 命令都是 &os; 基本系统的一部分, 并可用于执行简单的任务:</para> @@ -403,9 +403,9 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <sect2 id="jails-tuning-admintools"> <title>由 &os; Ports 套件提供的高级管理工具</title> - <para>在众多第三方 jail 管理工具中, 最完整和好用的一个是 <filename - role="package">sysutils/jailutils</filename>。 这是一系列方便 &man.jail.8; - 管理的小工具。 请参见其网站以了解进一步的详情。</para> + <para>在众多第三方 jail 管理工具中, <filename + role="package">sysutils/jailutils</filename> 是最完整和好用的。 + 它是一系列方便 &man.jail.8; 管理的小工具。 请参见其网站以了解进一步的详情。</para> </sect2> </sect1> @@ -440,7 +440,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <para>jail 的一个主要问题是如何对它们进行升级和管理。 由于每个 jail 都是从头联编的, 对于单个 jail 而言升级也许还不是个很严重的问题, 因为升级不会太过麻烦, 而对于多个 jail 而言, 升级不仅会耗费大量时间, - 并且十分乏味的过程。</para> + 并且是十分乏味的过程。</para> <warning> <para>这个配置过程需要您对 &os; 有较多的配置和使用经验。 @@ -452,7 +452,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep <para>基本的想法是, 在不同的 jail 中尽可能多地以安全的方式使用共享的资源 — 使用只读的 &man.mount.nullfs.8; 挂接, 这会让升级简单许多, 从而使为每个服务建立不同的 jail 这种方案变得更加可行。 另外, - 它也为增加或删除以及升级 jail 提供了更为便捷的方法。</para> + 它也为增加、删除以及升级 jail 提供了更为便捷的方法。</para> <note> <para>在这里服务的常见例子包括: @@ -486,7 +486,7 @@ jail_<replaceable>www</replaceable>_devfs_ruleset="<replaceable>www_ruleset</rep </itemizedlist> <para>如前面提到的那样, 这个设计极大程度上依赖于将一份只读的主模板 - (known as <application>nullfs</application>) 挂接到没一个 + (known as <application>nullfs</application>) 挂接到每一个 jail 中, 并为每个 jail 配置一个可读写的设备。 这种设备可以是物理磁盘、 分区, 或以 vnode 为后端的 &man.md.4; 设备。 在这个例子中, 我们将使用可读写的 |