超级会员免费看
FreeBSD 监狱系统:安全与灵活并存的解决方案
在使用 UNIX 系统时,客户常常会提出一些让管理员头疼的请求,比如安装软件或重新配置 Web 服务器以启用最新的 Apache 模块,这实际上意味着他们想要 root 访问权限。然而,在大多数 UNIX 系统中,不能随意将 root 权限分配给多用户服务器上的客户。不过,FreeBSD 提供了一种解决方案——监狱(jail)系统。
监狱系统概述
FreeBSD 的监狱系统通过大幅改进 chroot 进程,允许在磁盘上构建一个完整的虚拟机,并将其与系统的其他部分隔离开来。可以将监狱系统想象成一个客户端 - 服务器环境,主服务器是主机系统,每个监狱系统是一个客户端。对主机所做的更改可以反映到所有系统中,但对监狱系统的更改不会影响主系统,除非允许监狱系统填满磁盘驱动器等情况。
在监狱系统中,客户可以拥有 root 访问权限,甚至可以安装他们想要的任何软件,而不会干扰主系统。监狱内运行的所有进程都被限制在监狱环境中,内核不会让它们访问监狱外的任何信息。监狱内的文件系统对监狱外的文件或文件系统一无所知,因此用户被锁定在监狱内,即使监狱被黑客攻击,入侵者也无法突破监狱。这有助于在满足客户需求的同时保障系统安全。
在现代硬件上,一个 FreeBSD 系统可以托管数十个监狱 Web 服务器,但需要确保内核经过良好调整以支持这么多 Web 服务器运行。从销售角度来看,监狱系统是共享服务器上的虚拟域名和私有托管服务器之间的一个很好的中间步骤。
配置服务器以使用监狱系统
在开始使用监狱系统之前,必须确保服务器配置正确。监狱系统对服务器有一些特殊要求,其中最麻烦的是守护进程不能绑定到所有
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
