15.5. Messa a Punto ed Amministrazione

Ci sono molte opzioni che possono essere impostate per ogni jail, e molti modi di combinare un sistema FreeBSD con le jail, per produrre applicazioni di alto livello. Questa sezione presenta:

15.5.1. Strumenti di sistema per mettere a punto una jail in FreeBSD

La messa a punto di una configurazione di una jail è principalmente fatta settando variabili sysctl(8). Esiste un sotto-ramo speciale di sysctl con tutte le opzioni del caso: la gerarchia security.jail.* delle opzioni del kernel di FreeBSD. Qui c'è una lista delle principali opzioni di sysctl relative alle jail, con il loro valori di default. I nomi dovrebbero essere auto esplicativi, ma per maggiori informazioni riguardo questi, per favore fai riferimento alle pagine man jail(8) e sysctl(8).

  • security.jail.set_hostname_allowed: 1

  • security.jail.socket_unixiproute_only: 1

  • security.jail.sysvipc_allowed: 0

  • security.jail.enforce_statfs: 2

  • security.jail.allow_raw_sockets: 0

  • security.jail.chflags_allowed: 0

  • security.jail.jailed: 0

Queste variabili possono essere usate dall'amministratore di sistema del sistema host per aggiungere o rimuovere alcune delle limitazioni imposte di default all'utente root. Nota che ci sono alcune limitazioni che non possono essere rimosse. L'utente root non ha il permesso di montare o smontare file system all'interno della jail(8). L'utente root all'interno della jail non può caricare o scaricare regole di devfs(8), impostare regole del firewall, o compiere molti altri compiti di amministrazione che richiedono modifiche in kernel, come impostare il securelevel del kernel.

Il sistema base di FreeBSD contiene un insieme di base di strumenti per vedere informazioni a proposito delle jail attive, e per attaccarsi ad una jail per eseguire compiti amministrativi. Il comando jail(8) e jexec(8) sono parte del sistema base di FreeBSD, e possono essere usati per eseguire i seguenti semplici compiti:

  • Stampa una lista di jail attive e i loro corrispondenti identificativi di jail (JID), indirizzo IP, nome host e percorso.

  • Attaccarsi ad una jail in esecuzione, dal suo sistema host, ed eseguire un comando o compiti amministrativi dall'interno della jail stessa. Questo è specialmente utile quando l'utente root vuole spegnere in modo pulito una jail. L'utility jexec(8) può anche essere usata per avviare una shell in una jail per fare dell'amministrazione; ad esempio:

    # jexec 1 tcsh

15.5.2. Strumenti di amministrazione di alto livello nella Collezione dei Ports di FreeBSD

Fra le tante utility di terze parti per l'amministrazione delle jail, uno dei più completi ed utili è sysutils/jailutils. È un insieme di piccoli applicativi che contribuiscono alla gestione delle jail(8). Per favore fai riferimento alla corrispondente pagina web per maggiori informazioni.

Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.

Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.