FreeBSD 8.0下jail虛擬機完全實踐
原創【51CTO特稿】在Linux下實現虛擬化,我們使用Xen或者KVM;在Windows下實現虛擬化,我們使用VMware或Hyper-V。相對應的,說到BSD系統下的虛擬化解決方案,那么jail是不能不提的。嚴格來說jail算是一種安全工具,但經過了多年的開發,jail已經是一個相當成熟的虛擬化解決方案,十分適合布置小規模的開發服務器環境。本文將介紹FreeBSD 8.0下使用jail來搭建一個小規模開發環境的詳細步驟。
推薦專題:企業內網開發環境部署與管理全攻略(FreeBSD+PHP)
jail是什么
BSD類操作系統從BSD4.2開始即提供了chroot。 chroot工具能夠改變一組進程的根目錄的位置,從而建立一個與系統中其他部分相隔離的安全環境,在chroot環境中的進程將無法訪問其外的文件或其他資源。正是由于這種能力,即使攻擊者攻破了某一個運行于chroot環境的服務,也不能攻破整個系統。chroot對于那些不需要很多靈活性或復雜的高級功能的簡單應用而言相當好用。另外,在引入chroot概念的過程中,曾經發現過許多跳出chroot環境的辦法。盡管這些問題在較新的FreeBSD版本中已經修正,但很明顯地,chroot并不是一些用于加固服務器安全的理想解決方案。因此,必須實現一個新的子系統來解決這些問題,jail便應運而生了。
jail以多種方法改進了傳統的chroot環境概念。傳統的chroot環境只限制了進程能夠訪問文件系統的哪些部分,其他部分的系統資源 (例如系統用戶、正在運行的進程, 以及網絡子系統) 是由 chroot 進程與宿主系統中的其他進程共享的。jail擴展了這個模型,它不僅將文件系統的訪問虛擬化,而且還將用戶、FreeBSD 的網絡子系統,以及一些其他系統資源虛擬化。
jail應用環境
我們實際的開發環境用了一臺8核CPU、16G內存的服務器充當宿主機,開了大約六七臺jail機作內部開發和測試使用,效果還是比較讓大家滿意的。就是FreeBSD自身一樣,簡單和穩定是其主要特點;特別是相對于Vmware的ESXI而言,配置起來要簡單很多。
安裝前的準備工作:
- 宿主機的性能盡量高些,內存是越大越好;
- /usr目錄越大越好,我分的/usr大約300-400G;
- 為了權限和安裝的便利,我的操作均是以root進行。
- 虛擬機上jail的IP跟我的宿主IP分別為192.168.43.128和192.168.43.129,物理bridge直接。
jail的安裝
①第一步就是為 jail 選擇一個位置。
這個路徑是在宿主系統中 jail 的物理位置。一種常用的選擇是
/usr/jail/jailname
此處jailname 是 jail 的主機名。對于“完整” 的 jail 而言, 它通常包含了 FreeBSD 默認安裝的基本系統中每個文件的副本。這里我創建了apache 目的是做一個apache 服務的jail
mkdir -p /usr/jail/apache
②編譯源碼
cd /usr/src
/usr/src可以選擇用sysisntall --> configure --> src --> DVD/CD來安裝,這樣速度最快。
make buildworld
③新建world
make installworld DESTDIR=/usr/jail/apache
④安裝配置文件
make distribution DESTDIR=/usr/jail/apache
distribution 這個 make target 將安裝全部配置文件,或者換句話說,就是將/usr/src/etc/復制到jail環境中的/etc
※安裝jail的過程也是熟悉FreeBSD目錄結構的過程。
⑤安裝devfs
在 jail 中不是必須要掛接devfs(8) 文件系統。而另一方面,幾乎所有的應用程序都會需要訪問至少一個設備,這主要取決于應用程序的性質和目的。控制 jail 中能夠訪問的設備非常重要,因為不正確的配置, 很可能允許攻擊者在 jail 中進行一些惡意的操作。通過 devfs(8) 實施的控制,可以通過由聯機手冊devfs(8) 和
devfs.conf(5) 介紹的規則集配置來實現,但為了以后能方便的ssh到jail上,這里建議安裝。
我直接在宿主機的/etc/rc.conf里添加如下內容
jail_apache_devfs_enable="YES" # 在jail中掛接devfs
⑥配置宿主機的/etc/rc.conf,vim /etc/rc.conf,添加內容如下:
jail_enable="YES"
jail_list="apache" jail_apache_rootdir="/usr/jail/apache"
jail_apache_hostname="你的主機名,如www.ekrvqnd.cn"
jail_apache_ip="192.168.43.129"
jail_apache_exec="/bin/sh /etc/rc"
jail_apache_devfs_enable="YES"
/etc/rc.conf里原有內容如下:
ifconfig_le0="inet 192.168.43.128 netmask 255.255.255.0"
defaultrouter="192.168.43.2"
hostname="mail.ewiz.com"
ifconfig_le0_alias0="inet 192.168.43.129 netmask 255.255.255.0" #最后一行的目的是為了替Apache的jail添加IP
⑦使用sh /etc/rc來使jail生效,不需要重啟,只需要 sh /etc/rc以后,也就是使他jail enable,就可以啟用jail了,然后就可以使用jls看到jail的狀態了;當然也可以用/etc/rc.d/jail腳本也可以用于手工啟動或停止rc.conf中配置的jail,如 /etc/rc.d/jail start apache。
#p#
jail的管理及其配置
管理jail選擇工具jailexec,可先用jls找出運行apache的jid
例如jexec 1 passwd root可以改變jail的root密碼
jexec 1 csh 可以用root和/bin/csh進入jail系統
如何啟動名為apache的jail的ssh
jexec 1 vi /etc/rc.conf
rpc_bind_enable="NO"
sshd_enable="YES"
hostname="你的主機名,如www.ekrvqnd.cn" sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
ntpd_enable="YES"
ntpd_sync_on_start="YES"
named_enable="YES"
以上,
- 有關sendmail的選項是為了關閉郵件干擾
- Ntpd 是為了同步時間
- Rpc 綁定 no 為了在rc.conf 里面去掉網卡地址的綁定
然后是重要操作 jexec 1 sh /etc/rc 重啟虛擬機的服務,不然啟動不了jail之apache的ssh的。
另外,在宿主機上建一個用于apache_jail的ssh用戶
jexec 1 pw useradd admin && jexec 1 passwd admin
記得把yjwan 放入wheel 便于進去可以su root 賬戶
jexec 1 pw groupmod wheel -m admin
如何允許你的jail能夠ping
沒有配置前你會很郁悶的發現,無論你ping啥,就會出現
ping: socket: Operation not permitted
如果想永久保留配置,可以在宿主機上面修改/etc/sysctl.conf 文件
加上
security.jail.allow_raw_sockets=1
重啟jail虛擬機
/etc/rc.d/jail restart apache
jail的優化
從宿主機 將/etc/resolv.conf 文件 復制到jail系統中
cp /etc/resolv.conf /usr/jail/apache/etc/resolv.conf
將宿主機的make.conf也復制過去,這樣ports安裝速度很快
cp /etc/make.conf /usr/jail/apache/etc/make.conf
在宿主機上將/usr/ports掛接到jail上,此行可添加到/etc/rc.conf上。
mount_nullfs /usr/ports /usr/jail/cas/usr/ports
※這里值得一說的是,由于宿主機有二個IP:192.168.43.128和192.168.43.129,所以我們ssh jail的時候,很有可能還是在宿主機上;只有jail的ssh配置成功才可能ssh上去,ssh上去看,注意看下當前的hostname和ifconfig。
對于FreeBSD8下jail虛擬環境的搭建就介紹到這里。最后祝大家jail愉快,開發愉快,生活更愉快!
【編輯推薦】
