Matteo Riondato 原作 jails 这一章将为您介绍 &os; jail 是什么， 以及如何使用它们。 Jail， 有时也被认为是对 chroot 环境 的一种增强型替代品， 对于管理员而言是非常强大的工具， 同时， 它的一些基本用法， 对高级用户而言也相当有用。 读完这章， 您将了解： jail 是什么， 以及它在您安装的 &os; 中所能发挥的作用。 如何联编、 启动和停止 jail。 如何从 jail 内部或主机上进行管理的一些基础知识。 其他一些能够为您提供关于 jail 的有用信息的地方还有： &man.jail.8; 联机手册。 这是关于 jail — 用于在 &os; 中启动、 停止和控制 &os; jail — 工具的完整说明书。 邮件列表及其存档。 由 &a.mailman.lists; 提供的 &a.questions; 和其他邮件列表的存档， 已经包含了一系列关于 jail 的有价值的信息。 通常搜索存档或询问 &a.questions.name; 邮件列表能够给您带来很多有用的信息。 为了帮助您更好地理解与 jail 有关的 &os; 系统知识， 以及它们如何与 &os; 的其它部分相互作用， 您应理解下列术语： &man.chroot.2; (命令) &man.chroot.2; (环境) &man.jail.8; (命令) 宿主 (系统、 进程、 用户等等) hosted (系统、 进程、 用户等等) 由于系统管理是一项困难而又令人费解的任务， 因此人们开发了一系列强大的工具， 来让管理员的工作变得更加简单。 这些改进通常是让系统能够以更简单的方式安装、 配置， 并毫无问题地持续运转。 这其中， 许多管理员希望能够为系统正确地进行安全方面的配置， 使其能够用于真正的用途， 而阻止安全方面的风险。 &os; 系统提供的一项用于改善安全的工具就是 jail。 jail 是在 &os; 4.X 中由 &a.phk; 引入的， 它在 &os; 5.X 中又进行了一系列改进， 使得它称为一个强大而灵活的系统。 目前仍然在对其进行持续的开发， 以提高其可用性、 性能和安全性。 BSD-类的操作系统从 4.2BSD 开始即提供了 &man.chroot.2;。 &man.chroot.2; 工具能够改变一组进程的 / 目录的位置， 从而建立一个与系统中其他部分相隔离的安全环境： 在 chroot 环境中的进程， 将无法访问其外的文件或其他资源。 正是由于这种能力， 即使攻击者攻破了某一个运行于 chroot 环境的服务， 也不能攻破整个系统。 &man.chroot.2; 对于哪些不需要很多灵活性或复杂的高级功能的简单应用而言相当好用。 另外， 在引入 chroot 概念的过程中， 曾经发现过许多跳出 chroot 环境的方法， 尽管这些问题在较新的 &os; 版本中已经修正， 但很明显地， &man.chroot.2; 并不是一项用于加固服务安全的理想解决方案。 因此， 必须实现一个新的子系统来解决这些问题。 这就是为什么要开发 jail 最主要的原因。 Jail 以多种方式改进了传统的 &man.chroot.2; 环境概念。 在传统的 &man.chroot.2; 环境中， 只限制了进程能够访问文件系统的哪些部分。 其他部分的系统资源 (例如系统用户、 正在运行的进程， 以及网络子系统) 是由 chroot 进程与宿主系统中的其他进程共享的。 jail 扩展了这个模型， 它不仅将文件系统的访问虚拟化， 而且还将用户、 &os; 的网络子系统， 以及一些其他系统资源虚拟化。 关于这些精细控制以及调整 jail 环境访问能力的更具体的介绍， 可参见 。 jail 具有以下四项特点： 目录子树 — 进入 jail 的起点。 一旦进入了 jail， 进程就不再被允许访问这棵子树以外的对象。 传统上影响到最初 &man.chroot.2; 设计的安全问题不会影响 &os; jail。 主机名 — 将用于 jail 的主机名。 jail 主要用于存放网络服务， 因此在每个 mail 上能够标注一个有意义的主机名， 能够在很大程度上简化系统管理员的工作。 IP 地址 — 这个地址是指定给 jail 的， 在 jail 的生命周期内都无法改变。 通常这个地址是某一个网络接口上的别名地址。 命令 — 准备在 jail 中执行的可执行文件的完整路径名。 这个命令是相对于 jail 环境的根目录的， 随 jail 环境的类型不同， 可能会有很多不同之处。 除了这些之外， jail 也可以拥有自己的用户和自己的 root 用户。 自然， 这里的 root 用户的权力会受限于 jail 环境， 并且， 从宿主系统的观点看来， jail root 用户并不是一个无所不能的用户。 此外， root 用户不能执行除了其对应 &man.jail.8; 环境之外的系统中的一些关键操作。 关于 root 用户的能力和限制， 在后面的 中将加以介绍。 一些系统管理员喜欢将 jail 分为两类： 完整的 jail， 通常包含真正的 &os; 系统， 以及 服务 jail， 专用于执行一个可能使用特权的应用或服务。 这只是一种概念上的区分， 并不影响如何建立 jail 的过程。 在联机手册 &man.jail.8; 中对如何创建 jail 进行了清晰的阐述： &prompt.root; setenv D /here/is/the/jail &prompt.root; mkdir -p $D &prompt.root; cd /usr/src &prompt.root; make world DESTDIR=$D &prompt.root; cd etc/ This step is not required on &os; 6.0 and later. &prompt.root; make distribution DESTDIR=$D &prompt.root; mount_devfs devfs $D/dev 为 jail 选择一个位置是建立它的第一步。 这个路径是宿主系统中 jail 的物理位置。 一种常用的选择是 /usr/jail/jailname， 此处 jailname 是 jail 的主机名。 /usr/ 文件系统通常会有足够的空间来保存 jail 文件系统， 后者通常包含 &os; 默认安装的基本系统中每个文件的副本。 这个命令将在 jail 目录中安装所需的可执行文件、 函数库以及联机手册等。 这些是以传统的 &os; 风格的方式完成的 — 首先联编所有的文件， 然后将其安装到目标路径。 distribution 这个 make target 将安装全部配置文件， 或者换句话说， 就是将 /usr/src/etc/ 复制到 $D/etc/。 在 jail 中挂接 &man.devfs.8; 文件系统并不是必需的。 而另一方面， 几乎所有的应用程序都会需要访问至少一个设备， 这主要取决于应用程序的性质和目的。 控制 jail 中能够访问的设备非常重要， 因为不正确的配置， 很可能允许攻击者在 jail 中进行一些恶意的操作。 通过 &man.devfs.8; 实施的控制， 可以通过由联机手册 &man.devfs.8; 和 &man.devfs.conf.5; 介绍的规则集配置来实现。 一旦装好了 jail， 就可以使用 &man.jail.8; 工具来安装它了。 &man.jail.8; 工具需要四个必填参数， 这些参数在 小节中进行了介绍。 除了这四个参数之外， 您还可以指定一些其他参数， 例如以特定用户身份来运行程序等等。 这里， command 参数取决于您希望建立的 jail 的类型； 对于 虚拟系统， 可以选择 /etc/rc， 因为它会完成真正的 &os; 系统启动所需的操作。 对于 服务 jail， 执行的命令取决于将在 jail 中运行的应用程序。 Jail 通常应在系统启动时启动， 因此， &os; rc 机制提供了一些很方便的机制来简化这些工作。 在引导时需要启动的 jail 列表应写入 &man.rc.conf.5; 文件： jail_enable="YES" # 如果设为 NO 则表示不自动启动 jail jail_list="www" # 以空格分隔的 jail 名字列表 对于 jail_list 中列出的 jail， 还应指定一系列对应的 &man.rc.conf.5; 设置， 用以描述具体的 jail： jail_www_rootdir="/usr/jail/www" # jail 的根目录 jail_www_hostname="www.example.org" # jail 的主机名 jail_www_ip_="192.168.0.10" # jail 的 IP 地址 jail_www_devfs_enable="YES" # 在 jail 中挂接 devfs jail_www_devfs_ruleset="www_ruleset" # 在 jail 中应用的devfs 规则集 默认情况下， 在 &man.rc.conf.5; 中配置启动的 jail 会执行其中的 /etc/rc 脚本， 也就是说， 默认情况下将 jail 作为虚拟系统方式来启动。 对于服务 jail， 您应另外指定启动命令， 方法是设置对应的 jail_jailname_exec_start 配置。 如欲了解全部可用的选项， 请参阅联机手册 &man.rc.conf.5;。 /etc/rc.d/jail 脚本也可以用于手工启动或停止 rc.conf 中配置的 jail： &prompt.root; /etc/rc.d/jail start www &prompt.root; /etc/rc.d/jail stop www 目前， 尚没有一项方法来很干净地关闭 &man.jail.8;。 这是因为通常用于正常关闭系统的命令， 目前尚不能在 jail 中使用。 目前， 关闭 jail 最好的方式， 是在 jail 外通过 &man.jexec.8; 工具， 在 jail 中执行下列命令： &prompt.root; sh /etc/rc.shutdown 更进一步的详细说明， 请参见联机手册 &man.jail.8;。 您可以为 jail 设置许多不同的选项， 并让 &os; 宿主系统以不同的方式与 jail 交互， 以支持更高级别的应用。 这一节将介绍： 一些用于微调 jail 行为和安全限制的选项。 一些可以通过 &os; Ports 套件安装的高级 jail 管理应用程序， 这些程序可以用于实现一般的基于 jail 的解决方案。 对于 jail 的配置微调， 基本上都是通过设置 &man.sysctl.8; 变量来完成的。 系统提供了一个特殊的 sysctl 子树， 全部相关的选项均在这棵子树中； 这就是 &os; 内核的 security.jail.* 选项子树。 下面是与 jail 有关的主要 sysctl， 以及这些变量的默认值。 这些名字都比较容易理解， 如欲了解进一步的详情， 请参阅联机手册 &man.jail.8; 和 &man.sysctl.8;。 security.jail.set_hostname_allowed: 1 security.jail.socket_unixiproute_only: 1 security.jail.sysvipc_allowed: 0 security.jail.enforce_statfs: 2 security.jail.allow_raw_sockets: 0 security.jail.chflags_allowed: 0 security.jail.jailed: 0 系统管理员可以在中 宿主系统 中， 透过设置这些变量的值来默认为 root 用户增加或取消限制。 需要注意的是， 某些限制是不能够取消的。 在 &man.jail.8; 中的 root 用户， 无法挂载或卸下文件系统， 此外在 jail 中的 root 用户也不能加载或卸载 &man.devfs.8; 规则集、 配置防火墙规则， 或执行其他需要修改内核数据的管理操作， 例如设置内核的 securelevel 等等。 &os; 的基本系统包含一系列用于查看目前在用的 jail 信息， 以及接入 jail 并执行管理命令所需的基本工具。 &man.jls.8; 和 &man.jexec.8; 都是 &os; 基本系统的一部分， 并可用于执行简单的任务： 列出在用的 jail 以及对应的 jail 标识 (JID)、 IP 地址、 主机名和路径。 从宿主系统中接入正在运行的 jail， 并在其中执行命令， 以完成一系列 jail 管理任务。 这在 root 希望干净地关闭 jail 时非常有用。 &man.jexec.8; 工具也可以用于在 jail 中启动 shell 以便对其进行管理； 例如： &prompt.root; jexec 1 tcsh 在众多第三方 jail 管理工具中， 最完整和好用的一个是 sysutils/jailutils。 这是一系列方便 &man.jail.8; 管理的小工具。 请参见其网站以了解进一步的详情。