Es gibt verschiedene Optionen, die für jede Jail gesetzt werden können und verschiedene Wege, ein FreeBSD-Host-System mit Jails zu kombinieren. Dieser Abschnitt zeigt Ihnen:
Einige zur Verfügung stehende Optionen zur Abstimmung des Verhaltens und der Sicherheitseinstellungen, die mit einer Jail-Installation ausgeführt werden können.
Einige der Anwendungsprogramme für das Jail-Management, die über die FreeBSD Ports-Sammlung verfügbar sind und genutzt werden können, um Jail-basierte Lösungen allumfassend umzusetzen.
Die Feinabstimmung einer Jail-Konfiguration erfolgt zum
Großteil durch das Setzen von sysctl(8)-Variablen.
Es gibt einen speziellen sysctl-Zweig, der als Basis für
die Organisation aller relevanten Optionen dient: Die
security.jail.*
-Hierarchie der
FreeBSD-Kerneloptionen. Die folgende Liste enthält alle
jail-bezogenen sysctls (inklusiver ihrer Voreinstellungen).
Die Namen sollten selbsterklärend sein, für
weitergehende Informationen lesen Sie bitte die Manualpages
jail(8) und sysctl(8).
security.jail.set_hostname_allowed:
1
security.jail.socket_unixiproute_only:
1
security.jail.sysvipc_allowed:
0
security.jail.enforce_statfs:
2
security.jail.allow_raw_sockets:
0
security.jail.chflags_allowed:
0
security.jail.jailed: 0
Diese Variablen können vom Administrator des
Host-Systems genutzt werden, um
Beschränkungen hinzuzufügen oder aufzuheben, die dem
Benutzer root
als
Vorgabe auferlegt sind. Beachten Sie, dass es einige
Beschränkungen gibt, die nicht verändert werden können. Der
Benutzer root
darf
innheralb der jail(8) keine Dateisysteme mounten und
unmounten. Ebenso ist es ihm untersagt, das
devfs(8)-Regelwerk zu laden oder zu entladen. Er darf
weder Firewallregeln setzen, noch administrative Aufgaben
erledigen, die Modifikationen am Kernel selbst erfordern
(wie bespielsweise das Setzen des
Securelevels
des Kernel).
Das FreeBSD-Basissystem enthält einen Basissatz an Werkzeugen, um Informationen über aktive Jails zu erlangen und einer Jail administrative Befehle zuzuordnen. Die Befehle jls(8) und jexec(8) sind Teil des FreeBSD-Basissystems und können für folgende Aufgaben verwendet werden:
Das Anzeigen einer Liste der aktiven Jails und ihrer zugehörigen Jail Identifier (JID), ihrer IP-Addresse, ihres Hostnames und ihres Pfades.
Das Herstellen einer Verbindung mit einer laufenden
Jail, das Starten eines Befehls aus dem gastgebenen
System heraus oder das Ausführen einer administrativen
Aufgabe innerhalb der Jail selbst. Dies ist insbesondere
dann nützlich, wenn der Benutzer root
die Jail sauber
herunterfahren möchte. jexec(8) kann auch zum
Starten einer Shell innerhalb der Jail genutzt werden, um
adminstrative Aufgaben durchzuführen:
#
jexec
1
tcsh
Unter den zahlreichen Werkzeugen für die Administration von Jails ist sysutils/ezjail am vollständigsten und brauchbarsten. Dabei handelt es sich um eine Sammlung von Skripten, die das jail(8)-Management vereinfachen. Weitere Informationen zu diesem Werkzeug finden Sie im Abschnitt über ezjail.
Jails sollten immer vom Host-System auf dem neuesten Stand
gehalten werden, da eine Aktualisierung aus einer Jail heraus
wahrscheinlich fehlschlägt, da in der Voreinstellung von
FreeBSD die Verwendung von chflags(1) in einem Jail nicht
erlaubt ist und somit der Austausch einiger Dateien verhindert
wird. Es ist zwar möglich, dieses Verhalten zu ändern, aber
es wird empfohlen, freebsd-update(8) zu benutzen, um die
Jails zu aktualisieren. Verwenden Sie -b
mit
dem Pfad der Jail, die Sie aktualisieren möchten.
#
freebsd-update -b
/hier/ist/die/jail
fetch#
freebsd-update -b
/hier/ist/die/jail
install
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an
<de-bsd-translators@de.FreeBSD.org>.