7. Jails
• Solution de cloisonnement : processus, système de
fichier, réseau
• Restriction de privilèges dans la jail :
• sockets RAW DIVERT ROUTING interdites
• pas d’accès aux appels systèmes privilégiés (sysctl
et modules)
• interdiction d’accéder aux ressources non associés
à la jail
7
8. Création d’une jail
• Creation de la jail:
• $ mkdir /jails/prison2
• $ tar -xf base.txz -C /jails/prison2
• $ jail -c -n prison2 persist mount.devfs
ip4=inherit path=/jails/prison2
host.hostname="prison2"
8
10. Ezjail
• Avantages
• une seule base système pour toutes les jails
• mise à jour massive
• partie système en Read Only
• Support de ZFS (Ooooooh Yeah !!!)
• KISS
10
14. Archives
• ezjail-admin archive
• archivage par défaut avec un timestamp
• archivage de toutes les jails en un seul coup
• archive en tar.gz
• restauration ultrasimple
14
17. Fonctionnalités manquantes
• Limitation en RAM nécessite une recompilation
kernel
• contrôle à distance (libvirt tcp)
• Limitation en CPU non incluse dans la conf ezjail
17
18. Fonctionnalités avancées
• Possibilité de faire fonctionner du FreeBSD 32
bit sur un hôte 64 bit
• Possibilité de faire tourner du linux dans une jail
(debian/centos/…)
• mod_jail pour Apache
18