我想将所有服务从主机系统中移除并将它们关进监狱。
不幸的是,这不适用于文件共享(例如 nfsd),因为 jail 默认没有自己的网络堆栈。我知道读过一些关于 vimage 的文章,可以解决这个问题。
请参阅此主题中的更多内容:http://forums.freebsd.org/showthread.php?t=9006
vimage 与 raw jails 的使用应该使用 moreorless,但与 vimage 和 ezjail 的使用使其变得困难。
有谁有关于这个话题的经验并愿意分享吗?
问候
答案1
我会为任何好奇的人挖掘出这个骨头。我过去所做的是为每个我想要隔离的服务建立一个监狱,然后确保 PF 在主机上运行(未监禁)。然后我可以通过为主机分配相同的 lo1 接口但使用单独的 /32 网络地址,或为它们分配单独的环回接口来阻止监狱之间的通信。
然后,您可以确保 PF 没有跳过任何接口,就像他们在这里讨论的那样:https://forums.freebsd.org/threads/41263/。
不幸的是,我没有使用过 vimage 或 ezjail。
-gns