Es gibt verschiedene Optionen, die für jede Jail gesetzt werden können und verschiedene Wege, ein FreeBSD-Host-System mit Jails zu kombinieren. Dieser Abschnitt zeigt Ihnen:
Einige zur Verfügung stehende Optionen zur Abstimmung des Verhaltens und der Sicherheitseinstellungen, die mit einer Jail-Installation ausgeführt werden können.
Einige der Anwendungsprogramme für das Jail-Management, die über die FreeBSD Ports-Sammlung verfügbar sind und genutzt werden können, um Jail-basierte Lösungen allumfassend umzusetzen.
Die Feinabstimmung einer Jail-Konfiguration erfolgt zum Großteil durch das Setzen
von sysctl(8)-Variablen.
Es gibt einen speziellen sysctl-Zweig, der als Basis für die Organisation aller
relevanten Optionen dient: Die security.jail.*
-Hierarchie der FreeBSD-Kerneloptionen. Die
folgende Liste enthält alle jail-bezogenen sysctls (inklusiver ihrer
Voreinstellungen). Die Namen sollten selbsterklärend sein, für weitergehende
Informationen lesen Sie bitte die Manualpages jail(8) und sysctl(8).
security.jail.set_hostname_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.sysvipc_allowed: 0
security.jail.enforce_statfs: 2
security.jail.allow_raw_sockets: 0
security.jail.chflags_allowed: 0
security.jail.jailed: 0
Diese Variablen können vom Administrator des Host-Systems genutzt werden, um Beschränkungen
hinzuzufügen oder aufzuheben, die dem Benutzer root als
Vorgabe auferlegt sind. Beachten Sie, dass es einige Beschränkungen gibt, die nicht
verändert werden können. Der Benutzer root darf
innheralb der jail(8) keine
Dateisysteme mounten und unmounten. Ebenso ist es ihm untersagt, das devfs(8)-Regelwerk zu
laden oder zu entladen. Er darf weder Firewallregeln setzen, noch administrative
Aufgaben erledigen, die Modifikationen am Kernel selbst erfordern (wie
bespielsweise das Setzen des Securelevels
des
Kernel.
Das FreeBSD-Basissystem enthält einen Basissatz an Werkzeugen, um Informationen über aktive Jails zu erlangen und einer Jail administrative Befehle zuzuordnen. Die Befehle jls(8) und jexec(8) sind Teil des FreeBSD-Basissystems und können für folgende Aufgaben verwendet werden:
Das Anzeigen einer Liste der aktiven Jails und ihrer zugehörigen Jail Identifier (JID), ihrer IP-Addresse, ihres Hostnames und ihres Pfades.
Das Herstellen einer Verbindung mit einer laufenden Jail, das Starten eines Befehls aus dem gastgebenen System heraus oder das Ausführen einer administrativen Aufgabe innerhalb der Jail selbst. Dies ist insbesondere dann nützlich, wenn der Benutzer root die Jail sauber herunterfahren möchte. jexec(8) kann auch zum Starten einer Shell innerhalb der Jail genutzt werden, um adminstrative Aufgaben durchzuführen:
# jexec 1 tcsh
Unter den zahlreichen Fremdwerkzeugen für die Administration von Jails sind die sysutils/jailutils die vollständigsten und brauchbarsten. Dabei handelt es sich um eine Sammlung kleiner Anwendungen, die das jail(8)-Management vereinfachen. Weitere Informationen zu diesen Werkzeugen finden Sie auf den entsprechenden Internetseiten.
Zurück | Zum Anfang | Weiter |
Einrichtung und Verwaltung von Jails | Nach oben | Anwendung von Jails |
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<[email protected]>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an <[email protected]>.