Я хочу выкинуть все сервисы из хост-системы и посадить их в тюрьмы.
К сожалению, это не работает для совместного использования файлов (например, nfsd), потому что тюрьмы по умолчанию не имеют собственного сетевого стека. Я знаю, что читал что-то о vimage, которое решило бы эту проблему.
Смотрите больше в этой теме: http://forums.freebsd.org/showthread.php?t=9006
Использование vimage с необработанными тюрьмами должно использовать moreorless, но использование с vimage и ezjail усложняет задачу.
Кто-нибудь имеет опыт по этой теме и хочет им поделиться?
С уважением
Я выкопаю эту кость для всех, кому интересно. Раньше я создавал тюрьму для каждой службы, которую хочу изолировать, а затем проверял, работает ли PF на хосте (без заключения в тюрьму). Затем я могу предотвратить взаимодействие между тюрьмами, назначив хостам один и тот же интерфейс lo1, но с отдельными сетевыми адресами / 32, или назначив им отдельные интерфейсы обратной связи.
Тогда вы можете убедиться, что PF не пропускает никаких интерфейсов, как они здесь говорят: https://forums.freebsd.org/threads/41263/.
К сожалению, у меня нет опыта работы с vimage или ezjail.
-gns