我想抛出主机系统的所有服务,并将其放入监狱。
不幸的是,这不适用于文件共享(例如nfsd),因为jails默认没有自己的networking堆栈。 我知道读一些有关vimage的东西可以解决这个问题。
查看更多的线程: http : //forums.freebsd.org/showthread.php?t=9006
使用vimage与原始监狱应该使用更多的,但与vimage和ezjail的使用使它很难。
有没有人有关于这个话题的经验,并希望分享?
问候
我会为任何好奇的人挖掘这块骨头。 我过去所做的是为每个我想隔离的服务build立一个监狱,然后确保PF在主机上运行(未被监禁)。 然后,我可以通过为主机分配相同的lo1接口但具有单独的/ 32个networking地址,或将它们分配给单独的回送接口来防止监狱之间的通信。
那么你可以确保PF不会跳过任何接口,就像他们在这里讨论的: https : //forums.freebsd.org/threads/41263/ 。
不幸的是,我对vimage或ezjail没有任何经验。
-gns