https://wiki.eofnet.lt/w//index.php?action=history&feed=atom&title=Freebsd-jailFreebsd-jail - Versijų istorija2026-05-30T12:53:07ZŠio puslapio versijų istorija projekteMediaWiki 1.35.1https://wiki.eofnet.lt/w//index.php?title=Freebsd-jail&diff=1353&oldid=prev\dev\null 16:20, 28 kovo 20062006-03-28T16:20:44Z<p></p>
<p><b>Naujas puslapis</b></p><div>Jail labai puikus FreeBSD sistemos featuras kuris leidžia apsaugoti virtualios sistemos procesus bei padidinti bendą sistemos saugumą. Jail'as tai ne paprastas chroot'as jail'as tai neperlaužiama sistema kuri leidžia vartotojui išnaudoti maksimalų efektyvumą kartu ir didelio saugumo pojutį.<br />
<br />
Kol kas jail'as palaiko tik ipv4 ir reikalauja unikalaus adreso, bet įmanoma sukčiauti ir jail'ą statyti ant loopback'o paskui pranatinus į išorę. Tai mes ir pamėginsime padaryti.<br />
<br />
Šis straipsnis (HowTO) tinka [[FreeBSD]] '''5.X''', '''6.X''' ir '''7.0-Current''' versijoms.<br />
<br />
<br />
Laikinas /etc/make.conf kuris bus reikalingas naujam jail'o world'ui bildint (Prieš pradėdami redaguoti seną make.conf nukopijuokite į make.conf.bak):<br />
<br />
NO_ACPI= true # do not build acpiconf(8) and related programs<br />
NO_BOOT= true # do not build boot blocks and loader<br />
NO_BLUETOOTH= true # do not build Bluetooth related stuff<br />
NO_FORTRAN= true # do not build g77 and related libraries<br />
NO_GDB= true # do not build GDB<br />
NO_GPIB= true # do not build GPIB support<br />
NO_I4B= true # do not build isdn4bsd package<br />
NO_IPFILTER= true # do not build IP Filter package<br />
NO_PF= true # do not build PF firewall package<br />
NO_AUTHPF= true # do not build and install authpf (setuid/gid)<br />
NO_KERBEROS= true # do not build and install Kerberos 5 (KTH Heimdal)<br />
NO_LPR= true # do not build lpr and related programs<br />
NO_MAILWRAPPER=true # do not build the mailwrapper(8) MTA selector<br />
NO_MODULES= true # do not build modules with the kernel<br />
NO_NETCAT= true # do not build netcat<br />
NO_NIS= true # do not build NIS support and related programs<br />
NO_SENDMAIL= true # do not build sendmail and related programs<br />
NO_SHAREDOCS= true # do not build the 4.4BSD legacy docs<br />
NO_USB= true # do not build usbd(8) and related programs<br />
NO_VINUM= true # do not build Vinum utilities<br />
NOATM= true # do not build ATM related programs and libraries<br />
NOCRYPT= true # do not build any crypto code<br />
NOGAMES= true # do not build games (games/ subdir)<br />
NOINFO= true # do not make or install info files<br />
NOMAN= true # do not build manual pages<br />
NOPROFILE= true # Avoid compiling profiled libraries <br />
# BIND OPTIONS<br />
NO_BIND= true # Do not build any part of BIND<br />
NO_BIND_DNSSEC= true # Do not build dnssec-keygen, dnssec-signzone<br />
NO_BIND_ETC= true # Do not install files to /etc/namedb<br />
NO_BIND_LIBS_LWRES= true # Do not install the lwres library<br />
NO_BIND_MTREE= true # Do not run mtree to create chroot directories<br />
NO_BIND_NAMED= true # Do not build named, rndc, lwresd, etc.<br />
<br />
Jail darymo shell skriptas:<br />
<br />
# Sukuriame direktorijas<br />
JAILDIR=/usr/jail<br />
mkdir -p $JAILDIR/dev<br />
mkdir -p $JAILDIR/etc<br />
mkdir -p $JAILDIR/usr/tmp<br />
chmod 777 $JAILDIR/usr/tmp<br />
cd /usr/src/<br />
# Galite išmesti make buildworld jei prieš tai jis buvo sukompiliuotas<br />
make buildworld<br />
make installworld DESTDIR=$JAILDIR<br />
cd /usr/src/etc<br />
cp /etc/resolv.conf $JAILDIR<br />
make distribution DESTDIR=$JAILDIR NO_OPENSSH=YES NO_OPENSSL=YES<br />
cd $JAILDIR<br />
# Primontuojame devfs ir paslepiame nereikalingus devaisus.<br />
mount_devfs devfs $JAILDIR/dev<br />
devfs -m $JAILDIR/dev rule -s 4 applyset<br />
# Darome null kernel<br />
ln -s dev/null kernel<br />
# fstab'as<br />
touch $JAILDIR/etc/fstab<br />
# Panaudosime jau egzistuojantį resolv.conf<br />
cp /etc/resolv.conf $JAILDIR/etc/resolv.conf<br />
# Kopijuojame ssl nustatymus<br />
mkdir -p $JAILDIR/etc/ssl<br />
mkdir -p $JAILDIR/usr/local/openssl<br />
cp /etc/ssl/openssl.cnf $JAILDIR/etc/ssl<br />
cd $JAILDIR/usr/local/openssl/<br />
ln -s ../../../etc/ssl/openssl.cnf openssl.cnf<br />
<br />
Dabar galite atstatyti make.conf:<br />
<br />
mv /etc/make.conf.bak /etc/make.conf<br />
<br />
Keičiame jail'o rc.conf<br />
<br />
hostname="jail.example.com" # Butinai pakeisti<br />
ifconfig_em0="inet 127.0.0.2 netmask 255.255.255.255"<br />
defaultrouter="127.0.0.1" # Gateway'us<br />
clear_tmp_enable="YES" # Clear /tmp at startup.<br />
# Taip pat nepagailėkit uždėti didžiausią secure levelį<br />
kern_securelevel_enable="YES"<br />
kern_securelevel="3"<br />
<br />
Pridedame ip prie loopback'o<br />
<br />
ifconfig lo0 add 127.0.0.2<br />
<br />
Kad veiktų devfs pirmą kartą turime padaryti taip:<br />
<br />
mount_devfs devfs $JAILDIR/devfs<br />
<br />
== Jail naudojimas ==<br />
<br />
Jei norite pasinaudoti portais ir įdiegti kai kurias programas savo jail'ą turėsite prisimontuoti portų direktoriją su nullfs tas pats galioja ir /usr/src:<br />
<br />
mount_nullfs /usr/ports $JAILDIR<br />
mount_nullfs /usr/src $JAILDIR<br />
<br />
Ir pagaliau startuojame jail:<br />
<br />
jail $JAILDIR jail.example.com 127.0.0.2 /bin/sh<br />
jei jail'e nebus paleista servisų, demonų parašius exit jail'as išsijungs.<br />
<br />
Kai tik pateksite į jail galite krauti sistemos servisus:<br />
<br />
/bin/sh /etc/rc<br />
<br />
Slaptažodžio keitimas ir nereikalingų vartotojų pašalinimas:<br />
<br />
vipw<br />
passwd root<br />
<br />
Dabar lasvai galite diegti openssh iš portų:<br />
<br />
cd /usr/ports/security/openssh<br />
make install clean<br />
<br />
'''Automatinis jail'o startavimas sistemos krovimosi metu'''.<br />
<br />
į /etc/rc.local įrašykite:<br />
<br />
ifconfig lo0 add 127.0.0.2<br />
<br />
į /etc/rc.conf įrašykite:<br />
<br />
jail_enable="YES" # pakeiskite į no jei nenorite, kad automatiškai startuotų jail'as<br />
jail_list="cell" # tarpais atskirti jail'ų pavadinimai kuriuos įkrauti<br />
jail_set_hostname_allow="NO" # Ar leisti jail'o root'ui keisti hostneimą<br />
jail_socket_unixiproute_only="YES" # Routinti tiktai TCP/IP jail'ui <br />
jail_cell_rootdir="/usr/jail"<br />
jail_cell_hostname="cell.example.com"<br />
jail_cell_ip="127.0.0.2"<br />
jail_cell_exec_start="/bin/sh /etc/rc"<br />
jail_cell_devfs_enable="YES"<br />
jail_cell_devfs_ruleset="devfsrules_jail"<br />
<br />
<br />
== Valdymas ==<br />
<br />
Reiktų primontuoti sistemos portus ir išeitinius kodos vėlesiam jail'o atnaujinimui, portų įdiegimui:<br />
<br />
mount_nullfs /usr/ports $JAILDIR<br />
mount_nullfs /usr/src $JAILDIR<br />
<br />
jls komanda parodo kokie jail'ai yra paleisti:<br />
<br />
#jls<br />
JID IP Address Hostname Path<br />
1 127.0.0.2 cell.example.com /usr/jail<br />
<br />
Prisijungimas prie jail'o ar komandų vykdymas jame vyksta pasitelkiant jexec komanda.<br />
pvz: startuojame sh shell'ą.<br />
<br />
jexec 1 /bin/sh<br />
<br />
Išėjimas iš jail'o:<br />
<br />
exit<br />
<br />
Jail'o panaikinimas, vykdomas jail'o root'e.<br />
<br />
kill -KILL -1, arba kill -TERM -1 tada exit<br />
<br />
<br />
== Tinklas ==<br />
<br />
'''Dėmesio!''' Jei norite, kad jail'e veiktų internet'as reikia iš pradžių prasinatinti pasinaudojus pvz packet filteriu:<br />
į /etc/pf.conf įrašome:<br />
<br />
nat on išorinis_iface from 127.0.0.2 to any -> išorinis_ip<br />
<br />
perkrauname packet filterio taisykles <br />
<br />
pfctl -f /etc/pf.conf<br />
<br />
Taip pat jei jail'e norite naudoti tinklo servisus kurie interaktyvaus su išorinio pasaulio vartotojais reikia atsiforwardinti portus pvz praforwardinsime ssh:<br />
<br />
rdr on išorinis_iface proto tcp from any to išorinis_ip port 21 -> 127.0.0.2<br />
<br />
irašome į /etc/pf.conf ir perkrauname:<br />
<br />
pfctl -f /etc/pf.conf<br />
<br />
== Problemos ==<br />
<br />
Jei neveikia tam tikri įrankiai pvz: telnet'as reikalauja papildomų bibliotekų kurių nėra jūsų jail'e jas rasite savo sistemos /lib ir /usr/lib direktorijose. Jas galite iškarto persikopijuoti į jail'ą, kad nekiltu problemų:<br />
<br />
cd /usr/lib<br />
cp * /usr/jail/usr/lib<br />
cd /lib<br />
cp * /usr/jail/lib<br />
<br />
<br />
[[Category:FreeBSD]]</div>\dev\null