FreeBSD & Jail
Jail 命令在FreeBSD 4.0中首次出现。用于“监禁”进程以及其衍生的子进程。而且jail和FreeBSD本身的secure_level合并使用可以显著限制(jail中的)root的能力。
假设某一个应用程序在系统中运行,一段时间之后该应用程序被发现包含有致命的安全漏洞,在通常的系统中,这个应用程序可能已经形成了可利用的漏洞,甚至cracker们已经成功地攻破这一应用并且成为root,控制了系统;但假如该应用程序在jail内运行,即使cracker们已经攻破系统,也无法访问到jail之外系统的其他部分。因为在Jail内,尽管应用程序可以自由活动,却无法获得更多权限,也无法访问Jail外的任何资源。通过实施Jail,在系统管理上面可以做到防范未知漏洞,避免某些不安全应用程序对整个系统的安全构成威胁。 jail通常有两类应用方向: 一、对应用程序的活动能力进行限制。 比如ftp服务器,DNS服务器,这样一些东西,比如wu-ftpd,bind这样一些隔三岔五就会爆出漏洞的“著名”软件放到jail里面会让人更加放心。 二、受控制的主机。 某些时候,需要对外提供有shell的管理性访问,比如作为某公司A,其合作单位B有某项目需要在A的机器上获得shell乃至root权限,这就需...[ 查看全文 ]
