首页 > 其他分享 >Jail管理器AppJail的使用@FreeBSD

Jail管理器AppJail的使用@FreeBSD

时间:2024-06-06 17:32:53浏览次数:22  
标签:00 管理器 FreeBSD Jail appjail debug myjail local amd64

Jail的简介

Jail是FreeBSD操作系统中一个功能强大的安全机制,自FreeBSD 4.X版本起便投入使用,并且随着系统的发展,其功能、效率、稳定性和安全性得到了持续的强化。

Jail基于chroot的概念,通过更改一系列程序的根目录,为程序提供了一个隔离的安全环境,将其与系统的其他部分完全分隔开来。在Jail的环境中运行的程序无法访问其环境之外的任何文件或资源,从而有效防止了潜在的安全威胁。因此,即使一个在Jail环境中运行的服务被攻击者渗透,也不会导致整个系统面临风险。

然而,传统的chroot环境存在诸多限制,它只适用于简单的工作场景,对于需要高度灵活性、复杂性和进阶功能的应用来说并不理想。而且,随着时间的推移,越来越多的方法被发现可以逃离chroot环境,这使得它不再是确保服务安全的最佳方案。

为了克服这些限制,Jail对传统chroot环境的概念进行了多方面的改进。它不仅限制了程序对文件系统的访问,还通过虚拟化技术,实现了对用户、网络子系统等系统资源的隔离。这使得Jail能够提供更精细的控制参数,以调整其对环境资源的访问方式。从某种程度上讲,Jail可以被视为一种操作系统层级的虚拟化技术。

Jail的四个核心要素包括:

  1. 子树状目录:作为进入Jail的起点目录,一旦程序进入Jail,它将无法访问该目录之外的文件系统。
  2. 主机名称:每个Jail都有其独特的主机名称,用于标识和区分不同的Jail环境。
  3. IP地址:为Jail分配一个独立的IP地址,通常是现有网络接口的别名地址。这使得Jail能够独立于主机系统进行网络通信。
  4. 可执行指令:指定在Jail中可执行的程序路径名称。该路径是相对于Jail环境根目录的。

AppJail简介

AppJail是一个基于BSD-3开源许可的框架,它完全采用sh和C语言编写,借助FreeBSD Jail机制创建出隔离、可移植且易于部署的环境,其运行方式与应用程序相似。

该框架的主要目标是简化系统管理员和开发人员的工作流程,通过提供一个统一的接口来实现。此接口融合了FreeBSD的基本工具,自动化了Jail环境的创建和管理流程,使得复杂操作变得简单直接。

AppJail提供了一种高效且直观的方法来处理复杂的系统部署和管理任务。

AppJail手册:AppJail Handbook

 源码:GitHub - DtxdF/AppJail: Simple and easy-to-use tool for creating portable jails.

 安装

使用pkg直接安装

pkg install -y appjail

配置文件在这里:/usr/local/etc/appjail/appjail.conf

如果需要开机启动,需要在/etc/rc.conf文件中加入:appjail_enable=YES

可以使用命令:

sysrc appjail_enable=YES

简单使用

appjail fetch

显示:

appjail fetch
[00:00:00] [ debug ] Running (www): fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-RELEASE/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-RELEASE"/"MANIFEST"
/usr/local/appjail/cache/components/amd64/14.1        1046  B 5237 kBps    00s
[00:03:24] [ debug ] Done: base.txz

3分半搞定,而且时间显示是灰色的,看着很高级的感觉。

然后快速执行

appjail quick myjail start login

appjail quick myjail start login
[00:00:00] [ debug ] [myjail] quick parameters: start login
 

[00:00:12] [ info  ] [myjail] Done.
[00:00:12] [ debug ] [myjail] Copying /etc/localtime as /usr/local/appjail/jails/myjail/jail/etc/localtime
[00:00:12] [ debug ] [myjail] Copying /etc/resolv.conf as /usr/local/appjail/jails/myjail/jail/etc/resolv.conf
[00:00:12] [ debug ] [myjail] Setting the boot flag to the myjail jail ...
[00:00:17] [ debug ] [myjail] Template generated:
[00:00:17] [ debug ] [myjail]     exec.start: "/bin/sh /etc/rc"
[00:00:17] [ debug ] [myjail]     exec.stop: "/bin/sh /etc/rc.shutdown jail"
[00:00:17] [ debug ] [myjail]     mount.devfs
[00:00:28] [ debug ] [myjail] Locking myjail ...
[00:00:28] [ info  ] [myjail] Starting myjail...

[00:01:27] [ debug ] [myjail] Trying to log in to myjail ...
FreeBSD 14.1-RELEASE (GENERIC) releng/14.1-n267679-10e31f0946d8

Welcome to FreeBSD!

Release Notes, Errata: https://www.FreeBSD.org/releases/
Security Advisories:   https://www.FreeBSD.org/security/
FreeBSD Handbook:      https://www.FreeBSD.org/handbook/
FreeBSD FAQ:           https://www.FreeBSD.org/faq/
Questions List:        https://www.FreeBSD.org/lists/questions/
FreeBSD Forums:        https://forums.FreeBSD.org/

Documents installed with the system are in the /usr/local/share/doc/freebsd/
directory, or can be installed later with:  pkg install en-freebsd-doc
For other languages, replace "en" with a language code like de or fr.

Show the version of FreeBSD installed:  freebsd-version ; uname -a
Please include that output and any error messages when posting questions.
Introduction to manual pages:  man man
FreeBSD directory layout:      man hier

To change this login announcement, see motd(5).
root@myjail:~ # 
1分半,jail从创建到启动就完成了

看下系统:

uname -a
FreeBSD myjail.appjail 14.1-RELEASE FreeBSD 14.1-RELEASE releng/14.1-n267679-10e31f0946d8 GENERIC amd64

当然现在系统还没有配置好网络,需要进行配置

配置
 

/usr/local/etc/appjail/appjail.conf:

EXT_IF=jext
ON_IF=jext
FREEBSD_VERSION=13.2-RELEASE
FREEBSD_ARCH=amd64
IMAGE_ARCH=amd64
SHORTEN_DOMAIN_NAMES=1
# Remove the # character if you want to use ZFS with AppJail.
#ENABLE_ZFS=1

配置网络

网络方面没有调通。需要host主机配置pf等,具体可以参考这篇文档:https://blog.csdn.net/skywalk8163/article/details/139486081

 在那篇文档,可以达到的效果就是能配网络,进入jail里可以ping通外慢,但是无法pkg连通外面。

启动的时候直接配上ip

appjail quick myjail alias=igb0 ip4="192.168.1.120/24" overwrite start

当然网桥没有配置好,所以这里暂时没有成功。

配置网段

执行命令

appjail network add development 192.168.1.0/24

appjail network add development 192.168.1.0/24
[00:00:01] [ debug ] Network information:
[00:00:01] [ debug ]     - ADDRESS=192.168.1.0
[00:00:01] [ debug ]     - NETWORK=192.168.1.0
[00:00:01] [ debug ]     - NETMASK=255.255.255.0
[00:00:01] [ debug ]     - CIDR=24
[00:00:01] [ debug ]     - WILDCARD=0.0.0.255
[00:00:01] [ debug ]     - BROADCAST=192.168.1.255
[00:00:01] [ debug ]     - MINADDR=192.168.1.1
[00:00:01] [ debug ]     - MAXADDR=192.168.1.254
[00:00:01] [ debug ]     - ADDRESSES=254
[00:00:01] [ debug ]     - NAME=development
[00:00:01] [ debug ]     - DESCRIPTION=
[00:00:01] [ debug ]     - GATEWAY=192.168.1.1
[00:00:01] [ debug ] Done.

删除配置网段

appjail network remove -f development

删除之后配置到192.168.3.0网段

appjail network add development 192.168.3.0/24

不过这里没有再配上去,显示报错:

[00:00:00] [ error ] The development network is already created.


 设定jail的虚拟网卡地址

appjail quick myjail \
    virtualnet="development:myjail" \
    overwrite \
    start

查看ip

 appjail network hosts -REj myjail

appjail network hosts -REj myjail
192.168.1.2    development
 可见已经拿到了192.168.1.2网络地址

 ping一下试试

appjail cmd jexec otherjail ping -c4 192.168.1.1

能ping通。 

不过现在因为跟外面的192.168.1.0/24网段冲突,所以还不能上外网,不过至少整个流程基本ok了。

基本操作流程

启动一个已经创建好的jail

 appjail start myjail

登录

 appjail login myjail

登进去之后,可以使用exit退出登录 

 停止jail

appjail stop webapp

 导出jail

 appjail image export -t py -c zstd webapp

执行后显示:

myjail is currently running.
root@fbhost:~ # appjail image export -t pytt -c zstd myjail
[00:00:11] [ info  ] [myjail] Exporting myjail ...
[00:00:11] [ debug ] [myjail] Generating /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail ...
[00:00:12] [ info  ] [myjail] Done.
[00:00:12] [ debug ] [myjail] Setting (ajspec): tags: pytt
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.arch: amd64
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.name: "myjail"
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.timestamp.amd64: 1717590767
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.sum.amd64: 3b9719c5d5e35d474b07fca8c161ca9ef2f2fa64e8e0f0efe59f28cb3d573f83
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.size.amd64: 878988
[00:00:12] [ info  ] [myjail] Saved as /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail
文件大小800k 

看看myjail的信息

appjail image metadata info myjail 
Name            :    myjail (pytt)
Build on        :
  - amd64
Image           :    amd64
  - SHA256 = 3b9719c5d5e35d474b07fca8c161ca9ef2f2fa64e8e0f0efe59f28cb3d573f83
  - SIZE = 878988
  - TIMESTAMP = Wed Jun  5 20:32:47 2024
Installed       :
  - /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail

上传jail到github

# scp \
    /usr/local/appjail/cache/images/webapp/py-amd64-image.appjail \
    [email protected]:/var/mks/makejails/darkhttpd/appdata/AppJail-images/webapp
...
# cp /usr/local/appjail/cache/images/webapp/py-amd64-image.appjail /tmp/imgs/AppJail-images/webapp
# git clone [email protected]:DtxdF/webapp-image
...
# cp /usr/local/appjail/cache/images/webapp/.ajspec webapp-image
# appjail image metadata set -t py -f webapp-image/.ajspec source:amd64="http://localhost:8080/AppJail-images/webapp/py-amd64-image.appjail"
# appjail image metadata set -t py -f webapp-image/.ajspec source:amd64+="http://192.168.1.107:8080/AppJail-images/webapp/py-amd64-image.appjail"
# git -C webapp-image add .ajspec
# git -C webapp-image commit -m 'Add ajspec file'
# git -C webapp-image push
...

 还没看懂这部分,感觉是把img存盘文件设为.ajsped文件上传到github的? 是不能用原名:py-amd64-image.appjail 还是怎么回事? 这部分试验以后再做。

从github导入jail

appjail image import -t py gh+DtxdF/webapp-image

AppJail特有的tiny jail

TinyJails是AppJail的一个功能,用于导出仅包含运行应用程序所需文件的jail。

先创建一个hello.c文件

#include <stdio.h>
#include <stdlib.h>

int
main(void)
{
printf("Hello, world!\n");
return EXIT_SUCCESS;
}

生成files.lst 文件,里面只有一句

/usr/local/bin/hello

编译执行

cc -o hello hello.c

appjail quick tinyjail
appjail cmd local tinyjail mkdir -p usr/local/bin
appjail cmd local tinyjail mv "$PWD/hello" usr/local/bin


appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail

cc -o hello hello.c

appjail quick tinyjail
appjail cmd local tinyjail mkdir -p usr/local/bin
appjail cmd local tinyjail mv "$PWD/hello" usr/local/bin


appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail

显示:

appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail
[00:00:00] [ info  ] [tinyjail] Exporting tinyjail as a tiny jail ...
[00:00:00] [ debug ] [tinyjail] (1/2): Checking /usr/local/bin/hello ...
[00:00:00] [ debug ] [tinyjail] (2/2): Ignoring empty line...
[00:00:01] [ debug ] [tinyjail] (1/1): Copying usr/local/bin/hello ...
[00:00:01] [ debug ] [tinyjail] Generating hello.appjail ...
[00:00:01] [ info  ] [tinyjail] Done.
 

在其它机器上,我们可以安装并执行这个tiny jail

appjail jail create -I tiny+import=hello.appjail hello_tiny

appjail start hello_tiny

appjail cmd jexec hello_tiny hello

#Hello, world!

appjail cmd jexec hello_tiny hello
Hello, world!

总结

AppJail是非常好的Jail管理软件。当然由于个人原因,网络这块还没调通,先搁置。

调试

appjail fetch 的时候报错Not Found 

appjail fetch
[00:00:00] [ debug ] Running (www): fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-BETA3/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-BETA3"/"MANIFEST"
fetch: https://download.freebsd.org/releases/amd64/14.1-BETA3/MANIFEST: Not Found
[00:00:01] [ error ] `fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-BETA3/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-BETA3"/"MANIFEST"` exits with a non-zero exit status.
现在是14.1-RC ,升级FreeBSD,具体见:使用freebsd-update 升级FreeBSD-CSDN博客

标签:00,管理器,FreeBSD,Jail,appjail,debug,myjail,local,amd64
From: https://blog.csdn.net/skywalk8163/article/details/139469384

相关文章

  • PyQt5打造高效的剪贴板管理器
    介绍:在数字化时代,有效地管理剪贴板中的复制内容对于提高生产力和简化使用至关重要。尽管剪贴板是现代计算的基本功能之一,但其默认功能通常缺乏高级管理选项。在本文中,我们将探讨如何利用PyQt5构建强大的剪贴板管理器,PyQt5是用于创建图形用户界面(GUI)的强大Python框架。通过......
  • Vue3-Pinia状态管理器
    Pinia是Vue的专属状态管理库,它允许你跨组件或页面共享状态。如果你熟悉组合式API的话,你可能会认为可以通过一行简单的 exportconststate=reactive({}) 来共享一个全局状态。对于单页应用来说确实可以,但如果应用在服务器端渲染,这可能会使你的应用暴露出一些安全漏洞......
  • 进程和任务管理器
    一、查看和控制进程1.1ps命令(1)ps命令——查看静态的进程统计信息(ProcessesStatistic)PIDTTYTIMECMD1579pts/100:00:00bash1730pts/100:00:00psPID:进程IDTTY  (进程id)TTY:表明该进程在哪个终端上运行。“?”表示未知或不需要终端。TIME:该进程占用的CPU时间C......
  • 深入理解Python的包管理器:pip
    深入理解Python的包管理器:pip引言Python作为一门流行的编程语言,拥有强大的生态系统,其中pip扮演着至关重要的角色。pip是Python的包管理工具,它允许用户安装、升级和管理Python包。本专栏旨在帮助读者深入了解pip的各个方面,从基础使用到高级技巧,再到安全特性和未来展望。第......
  • 推荐一款安卓逆向修改神器:MT管理器
    MT管理器是一款强大的文件管理工具和APK逆向修改神器。如果你喜欢它的双窗口操作风格,可以单纯地把它当成文件管理器使用。如果你对修改APK有深厚的兴趣,那么你可以用它做许许多多的事,例如汉化应用、替换资源、修改布局、修改逻辑代码、资源混淆、去除签名校验等,主要取决于你如何......
  • LlamaFS自组织文件管理器
    LlamaFS是一个自组织文件管理器。它可以基于文件内容和修改时间等属性自动重命名和组织您的文件。它能让你不把时间花在对文件的复制、粘贴、重命名、拷贝、排序等简单操作上。有幸在Github上看到LlamaFS这个repo,感慨万千。技术简介LlamaFS以批处理模式和监视模式两种模式运行。......
  • HarmonyOS实战开发:@ohos.pluginComponent (插件组件管理器)
    用于给插件组件的使用者请求组件与数据,使用者发送组件模板和数据。如需实现插件模板的显示,请参考PluginComponent。说明:本模块首批接口从APIVersion8开始支持。后续版本如有新增内容,则采用上角标单独标记该内容的起始版本。导入模块importpluginComponentManagerfrom......
  • vue3项目使用pinia状态管理器----通俗易懂
    1、首先安装piniayarnaddpinia#或使用npmnpminstallpinia2、在项目的src目录下新建store文件夹,然后store目录下新建index.js/index.ts:我这里是index,jsimport{createPinia}from"pinia"//创建Pinia实例constpinia=createPinia()//导出Pinia......
  • C++实现获取设备管理器中的设备信息
     C++实现获取设备管理器中的设备信息,基本调用了windowsAPI函数,除此之外,还引用了setupapi.lib库,代码如下所示://PrintDeviceInfo.cpp:定义控制台应用程序的入口点。//#include<stdio.h>#include<locale.h>#include<Windows.h>#include<setupapi.h>#pragmacomm......
  • Motrix下载管理器:开源优雅高效的下载工具
    原文地址:https://itxiaozhang.com/motrix-download-manager-open-source-efficient-tool/本文配合视频食用效果最佳,视频教程在文章末尾。简介Motrix是一款对用户友好的全能型下载管理软件,它融合了简约直观的界面与强大的功能特性,帮助用户高效地下载并管理多元化的文件类型。......