Jail的简介
Jail是FreeBSD操作系统中一个功能强大的安全机制,自FreeBSD 4.X版本起便投入使用,并且随着系统的发展,其功能、效率、稳定性和安全性得到了持续的强化。
Jail基于chroot的概念,通过更改一系列程序的根目录,为程序提供了一个隔离的安全环境,将其与系统的其他部分完全分隔开来。在Jail的环境中运行的程序无法访问其环境之外的任何文件或资源,从而有效防止了潜在的安全威胁。因此,即使一个在Jail环境中运行的服务被攻击者渗透,也不会导致整个系统面临风险。
然而,传统的chroot环境存在诸多限制,它只适用于简单的工作场景,对于需要高度灵活性、复杂性和进阶功能的应用来说并不理想。而且,随着时间的推移,越来越多的方法被发现可以逃离chroot环境,这使得它不再是确保服务安全的最佳方案。
为了克服这些限制,Jail对传统chroot环境的概念进行了多方面的改进。它不仅限制了程序对文件系统的访问,还通过虚拟化技术,实现了对用户、网络子系统等系统资源的隔离。这使得Jail能够提供更精细的控制参数,以调整其对环境资源的访问方式。从某种程度上讲,Jail可以被视为一种操作系统层级的虚拟化技术。
Jail的四个核心要素包括:
- 子树状目录:作为进入Jail的起点目录,一旦程序进入Jail,它将无法访问该目录之外的文件系统。
- 主机名称:每个Jail都有其独特的主机名称,用于标识和区分不同的Jail环境。
- IP地址:为Jail分配一个独立的IP地址,通常是现有网络接口的别名地址。这使得Jail能够独立于主机系统进行网络通信。
- 可执行指令:指定在Jail中可执行的程序路径名称。该路径是相对于Jail环境根目录的。
AppJail简介
AppJail是一个基于BSD-3开源许可的框架,它完全采用sh和C语言编写,借助FreeBSD Jail机制创建出隔离、可移植且易于部署的环境,其运行方式与应用程序相似。
该框架的主要目标是简化系统管理员和开发人员的工作流程,通过提供一个统一的接口来实现。此接口融合了FreeBSD的基本工具,自动化了Jail环境的创建和管理流程,使得复杂操作变得简单直接。
AppJail提供了一种高效且直观的方法来处理复杂的系统部署和管理任务。
AppJail手册:AppJail Handbook
源码:GitHub - DtxdF/AppJail: Simple and easy-to-use tool for creating portable jails.
安装
使用pkg直接安装
pkg install -y appjail
配置文件在这里:/usr/local/etc/appjail/appjail.conf
如果需要开机启动,需要在/etc/rc.conf文件中加入:appjail_enable=YES
可以使用命令:
sysrc appjail_enable=YES
简单使用
appjail fetch
显示:
appjail fetch
[00:00:00] [ debug ] Running (www): fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-RELEASE/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-RELEASE"/"MANIFEST"
/usr/local/appjail/cache/components/amd64/14.1 1046 B 5237 kBps 00s
[00:03:24] [ debug ] Done: base.txz
3分半搞定,而且时间显示是灰色的,看着很高级的感觉。
然后快速执行
appjail quick myjail start login
appjail quick myjail start login
[00:00:00] [ debug ] [myjail] quick parameters: start login
[00:00:12] [ info ] [myjail] Done.
[00:00:12] [ debug ] [myjail] Copying /etc/localtime as /usr/local/appjail/jails/myjail/jail/etc/localtime
[00:00:12] [ debug ] [myjail] Copying /etc/resolv.conf as /usr/local/appjail/jails/myjail/jail/etc/resolv.conf
[00:00:12] [ debug ] [myjail] Setting the boot flag to the myjail jail ...
[00:00:17] [ debug ] [myjail] Template generated:
[00:00:17] [ debug ] [myjail] exec.start: "/bin/sh /etc/rc"
[00:00:17] [ debug ] [myjail] exec.stop: "/bin/sh /etc/rc.shutdown jail"
[00:00:17] [ debug ] [myjail] mount.devfs
[00:00:28] [ debug ] [myjail] Locking myjail ...
[00:00:28] [ info ] [myjail] Starting myjail...
[00:01:27] [ debug ] [myjail] Trying to log in to myjail ...
FreeBSD 14.1-RELEASE (GENERIC) releng/14.1-n267679-10e31f0946d8
Welcome to FreeBSD!
Release Notes, Errata: https://www.FreeBSD.org/releases/
Security Advisories: https://www.FreeBSD.org/security/
FreeBSD Handbook: https://www.FreeBSD.org/handbook/
FreeBSD FAQ: https://www.FreeBSD.org/faq/
Questions List: https://www.FreeBSD.org/lists/questions/
FreeBSD Forums: https://forums.FreeBSD.org/
Documents installed with the system are in the /usr/local/share/doc/freebsd/
directory, or can be installed later with: pkg install en-freebsd-doc
For other languages, replace "en" with a language code like de or fr.
Show the version of FreeBSD installed: freebsd-version ; uname -a
Please include that output and any error messages when posting questions.
Introduction to manual pages: man man
FreeBSD directory layout: man hier
To change this login announcement, see motd(5).
root@myjail:~ #
1分半,jail从创建到启动就完成了
看下系统:
uname -a
FreeBSD myjail.appjail 14.1-RELEASE FreeBSD 14.1-RELEASE releng/14.1-n267679-10e31f0946d8 GENERIC amd64
当然现在系统还没有配置好网络,需要进行配置
配置
/usr/local/etc/appjail/appjail.conf:
EXT_IF=jext
ON_IF=jext
FREEBSD_VERSION=13.2-RELEASE
FREEBSD_ARCH=amd64
IMAGE_ARCH=amd64
SHORTEN_DOMAIN_NAMES=1
# Remove the # character if you want to use ZFS with AppJail.
#ENABLE_ZFS=1
配置网络
网络方面没有调通。需要host主机配置pf等,具体可以参考这篇文档:https://blog.csdn.net/skywalk8163/article/details/139486081
在那篇文档,可以达到的效果就是能配网络,进入jail里可以ping通外慢,但是无法pkg连通外面。
启动的时候直接配上ip
appjail quick myjail alias=igb0 ip4="192.168.1.120/24" overwrite start
当然网桥没有配置好,所以这里暂时没有成功。
配置网段
执行命令
appjail network add development 192.168.1.0/24
appjail network add development 192.168.1.0/24
[00:00:01] [ debug ] Network information:
[00:00:01] [ debug ] - ADDRESS=192.168.1.0
[00:00:01] [ debug ] - NETWORK=192.168.1.0
[00:00:01] [ debug ] - NETMASK=255.255.255.0
[00:00:01] [ debug ] - CIDR=24
[00:00:01] [ debug ] - WILDCARD=0.0.0.255
[00:00:01] [ debug ] - BROADCAST=192.168.1.255
[00:00:01] [ debug ] - MINADDR=192.168.1.1
[00:00:01] [ debug ] - MAXADDR=192.168.1.254
[00:00:01] [ debug ] - ADDRESSES=254
[00:00:01] [ debug ] - NAME=development
[00:00:01] [ debug ] - DESCRIPTION=
[00:00:01] [ debug ] - GATEWAY=192.168.1.1
[00:00:01] [ debug ] Done.
删除配置网段
appjail network remove -f development
删除之后配置到192.168.3.0网段
appjail network add development 192.168.3.0/24
不过这里没有再配上去,显示报错:
[00:00:00] [ error ] The development network is already created.
设定jail的虚拟网卡地址
appjail quick myjail \
virtualnet="development:myjail" \
overwrite \
start
查看ip
appjail network hosts -REj myjail
appjail network hosts -REj myjail
192.168.1.2 development
可见已经拿到了192.168.1.2网络地址
ping一下试试
appjail cmd jexec otherjail ping -c4 192.168.1.1
能ping通。
不过现在因为跟外面的192.168.1.0/24网段冲突,所以还不能上外网,不过至少整个流程基本ok了。
基本操作流程
启动一个已经创建好的jail
appjail start myjail
登录
appjail login myjail
登进去之后,可以使用exit退出登录
停止jail
appjail stop webapp
导出jail
appjail image export -t py -c zstd webapp
执行后显示:
myjail is currently running.
root@fbhost:~ # appjail image export -t pytt -c zstd myjail
[00:00:11] [ info ] [myjail] Exporting myjail ...
[00:00:11] [ debug ] [myjail] Generating /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail ...
[00:00:12] [ info ] [myjail] Done.
[00:00:12] [ debug ] [myjail] Setting (ajspec): tags: pytt
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.arch: amd64
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.name: "myjail"
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.timestamp.amd64: 1717590767
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.sum.amd64: 3b9719c5d5e35d474b07fca8c161ca9ef2f2fa64e8e0f0efe59f28cb3d573f83
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.size.amd64: 878988
[00:00:12] [ info ] [myjail] Saved as /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail
文件大小800k
看看myjail的信息
appjail image metadata info myjail
Name : myjail (pytt)
Build on :
- amd64
Image : amd64
- SHA256 = 3b9719c5d5e35d474b07fca8c161ca9ef2f2fa64e8e0f0efe59f28cb3d573f83
- SIZE = 878988
- TIMESTAMP = Wed Jun 5 20:32:47 2024
Installed :
- /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail
上传jail到github
# scp \
/usr/local/appjail/cache/images/webapp/py-amd64-image.appjail \
[email protected]:/var/mks/makejails/darkhttpd/appdata/AppJail-images/webapp
...
# cp /usr/local/appjail/cache/images/webapp/py-amd64-image.appjail /tmp/imgs/AppJail-images/webapp
# git clone [email protected]:DtxdF/webapp-image
...
# cp /usr/local/appjail/cache/images/webapp/.ajspec webapp-image
# appjail image metadata set -t py -f webapp-image/.ajspec source:amd64="http://localhost:8080/AppJail-images/webapp/py-amd64-image.appjail"
# appjail image metadata set -t py -f webapp-image/.ajspec source:amd64+="http://192.168.1.107:8080/AppJail-images/webapp/py-amd64-image.appjail"
# git -C webapp-image add .ajspec
# git -C webapp-image commit -m 'Add ajspec file'
# git -C webapp-image push
...
还没看懂这部分,感觉是把img存盘文件设为.ajsped文件上传到github的? 是不能用原名:py-amd64-image.appjail 还是怎么回事? 这部分试验以后再做。
从github导入jail
appjail image import -t py gh+DtxdF/webapp-image
AppJail特有的tiny jail
TinyJails是AppJail的一个功能,用于导出仅包含运行应用程序所需文件的jail。
先创建一个hello.c文件
#include <stdio.h>
#include <stdlib.h>
int
main(void)
{
printf("Hello, world!\n");
return EXIT_SUCCESS;
}
生成files.lst 文件,里面只有一句
/usr/local/bin/hello
编译执行
cc -o hello hello.c
appjail quick tinyjail
appjail cmd local tinyjail mkdir -p usr/local/bin
appjail cmd local tinyjail mv "$PWD/hello" usr/local/bin
appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail
cc -o hello hello.c
appjail quick tinyjail
appjail cmd local tinyjail mkdir -p usr/local/bin
appjail cmd local tinyjail mv "$PWD/hello" usr/local/bin
appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail
显示:
appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail
[00:00:00] [ info ] [tinyjail] Exporting tinyjail as a tiny jail ...
[00:00:00] [ debug ] [tinyjail] (1/2): Checking /usr/local/bin/hello ...
[00:00:00] [ debug ] [tinyjail] (2/2): Ignoring empty line...
[00:00:01] [ debug ] [tinyjail] (1/1): Copying usr/local/bin/hello ...
[00:00:01] [ debug ] [tinyjail] Generating hello.appjail ...
[00:00:01] [ info ] [tinyjail] Done.
在其它机器上,我们可以安装并执行这个tiny jail
appjail jail create -I tiny+import=hello.appjail hello_tiny
appjail start hello_tiny
appjail cmd jexec hello_tiny hello
#Hello, world!
appjail cmd jexec hello_tiny hello
Hello, world!
总结
AppJail是非常好的Jail管理软件。当然由于个人原因,网络这块还没调通,先搁置。
调试
appjail fetch 的时候报错Not Found
appjail fetch
[00:00:00] [ debug ] Running (www): fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-BETA3/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-BETA3"/"MANIFEST"
fetch: https://download.freebsd.org/releases/amd64/14.1-BETA3/MANIFEST: Not Found
[00:00:01] [ error ] `fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-BETA3/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-BETA3"/"MANIFEST"` exits with a non-zero exit status.
现在是14.1-RC ,升级FreeBSD,具体见:使用freebsd-update 升级FreeBSD-CSDN博客