Il existe plusieurs options qui peuvent être configurées pour n'importe quel environnement jail, et de nombreuses manières de combiner un système FreeBSD hôte avec des environnements jail pour donner naissance à des applications haut-niveau. Cette section présente:
Certaines des options disponibles pour l'optimisation du fonctionnement et des restrictions de sécurité implémentées par une installation jail.
Des applications de haut niveau pour la gestion des environnements jail, qui sont disponibles dans le catalogue des logiciels portés, et peuvent être utilisées pour implémenter des environnements jail complets.
L'optimisation de la configuration d'un environnement jail se fait principalement
par le paramétrage de variables sysctl(8). Une
sous-catégorie spécifique de sysctl(8) existe pour
toutes les options pertinentes: la hiérarchie security.jail.*
d'options du noyau FreeBSD. Ci-dessous est
donnée une liste des principales variables relatives aux environnements jail
avec leur valeur par défaut. Leurs noms sont explicites, mais pour plus
d'information, veuillez vous référer aux pages de manuel jail(8) et sysctl(8).
security.jail.set_hostname_allowed: 1
security.jail.socket_unixiproute_only: 1
security.jail.sysvipc_allowed: 0
security.jail.enforce_statfs: 2
security.jail.allow_raw_sockets: 0
security.jail.chflags_allowed: 0
security.jail.jailed: 0
Ces variables peuvent être utilisées par l'administrateur du système hôte pour ajouter ou retirer
certaines limitations imposées par défaut à l'utilisateur root. Notez que certaines limitations ne peuvent être
retirées. L'utilisateur root n'est pas autorisé à
monter ou démonter des systèmes de fichiers à partir d'un environnement jail(8). L'utilisateur
root d'un environnement jail ne peut charger ou modifier
des règles devfs(8), paramétrer
des règles de pare-feu, ou effectuer des tâches d'administration qui
nécessitent la modification de données du noyau, comme le paramétrage du niveau
de sécurité securelevel
du noyau.
Le système de base de FreeBSD contient un ensemble d'outils basiques pour afficher les informations au sujet des environnements jail actifs, pour s'attacher à un environnement jail pour lancer des commandes d'administration. Les commandes jls(8) et jexec(8) font partie du système de base de FreeBSD et peuvent être utilisées pour effectuer les tâches simples suivantes:
Afficher une liste des environnements jail actifs et leur identifiant (JID), leur adresse IP, leur nom de machine et leur emplacement.
S'attacher à un environnement jail actif, à partir de son système hôte, et exécuter une commande à l'intérieur de l'environnement ou effectuer des tâches d'administration à l'intérieur de environnement lui-même. C'est tout particulièrement utile quand l'utilisateur root veut arrêter proprement un environnement. L'utilitaire jexec(8) peut également être employé pour lancer un interpréteur de commandes dans un environnement jail pour faire de l'administration; par exemple:
# jexec 1 tcsh
Parmi les nombreux utilitaires tierce-partie pour l'administration des environnements jail, un des plus complet et utile est sysutils/jailutils. C'est un ensemble de petites applications qui aident à la gestion des environnements jail(8). Veuillez consulter sa page Web pour plus d'information.
Précédent | Sommaire | Suivant |
Création et contrôle de l'environnement jail | Niveau supérieur | Mandatory Access Control ** Traduction en Cours ** |
Ce document, ainsi que d'autres peut être téléchargé sur ftp.FreeBSD.org/pub/FreeBSD/doc/.
Pour toutes questions à propos de FreeBSD, lisez la documentation avant de contacter <[email protected]>.
Pour les questions sur cette documentation, contactez <[email protected]>.