Назад | Перейти на главную страницу

Собственный сетевой стек FreeBSD Jail с vimage

Я хочу выкинуть все сервисы из хост-системы и посадить их в тюрьмы.

К сожалению, это не работает для совместного использования файлов (например, nfsd), потому что тюрьмы по умолчанию не имеют собственного сетевого стека. Я знаю, что читал что-то о vimage, которое решило бы эту проблему.

Смотрите больше в этой теме: http://forums.freebsd.org/showthread.php?t=9006

Использование vimage с необработанными тюрьмами должно использовать moreorless, но использование с vimage и ezjail усложняет задачу.

Кто-нибудь имеет опыт по этой теме и хочет им поделиться?

С уважением

Я выкопаю эту кость для всех, кому интересно. Раньше я создавал тюрьму для каждой службы, которую хочу изолировать, а затем проверял, работает ли PF на хосте (без заключения в тюрьму). Затем я могу предотвратить взаимодействие между тюрьмами, назначив хостам один и тот же интерфейс lo1, но с отдельными сетевыми адресами / 32, или назначив им отдельные интерфейсы обратной связи.

Тогда вы можете убедиться, что PF не пропускает никаких интерфейсов, как они здесь говорят: https://forums.freebsd.org/threads/41263/.

К сожалению, у меня нет опыта работы с vimage или ezjail.

-gns