Jail的简介

Jail是FreeBSD操作系统中一个功能强大的安全机制，自FreeBSD 4.X版本起便投入使用，并且随着系统的发展，其功能、效率、稳定性和安全性得到了持续的强化。

Jail基于chroot的概念，通过更改一系列程序的根目录，为程序提供了一个隔离的安全环境，将其与系统的其他部分完全分隔开来。在Jail的环境中运行的程序无法访问其环境之外的任何文件或资源，从而有效防止了潜在的安全威胁。因此，即使一个在Jail环境中运行的服务被攻击者渗透，也不会导致整个系统面临风险。

然而，传统的chroot环境存在诸多限制，它只适用于简单的工作场景，对于需要高度灵活性、复杂性和进阶功能的应用来说并不理想。而且，随着时间的推移，越来越多的方法被发现可以逃离chroot环境，这使得它不再是确保服务安全的最佳方案。

为了克服这些限制，Jail对传统chroot环境的概念进行了多方面的改进。它不仅限制了程序对文件系统的访问，还通过虚拟化技术，实现了对用户、网络子系统等系统资源的隔离。这使得Jail能够提供更精细的控制参数，以调整其对环境资源的访问方式。从某种程度上讲，Jail可以被视为一种操作系统层级的虚拟化技术。

Jail的四个核心要素包括：

1. 子树状目录：作为进入Jail的起点目录，一旦程序进入Jail，它将无法访问该目录之外的文件系统。
2. 主机名称：每个Jail都有其独特的主机名称，用于标识和区分不同的Jail环境。
3. IP地址：为Jail分配一个独立的IP地址，通常是现有网络接口的别名地址。这使得Jail能够独立于主机系统进行网络通信。
4. 可执行指令：指定在Jail中可执行的程序路径名称。该路径是相对于Jail环境根目录的。

AppJail简介

AppJail是一个基于BSD-3开源许可的框架，它完全采用sh和C语言编写，借助FreeBSD Jail机制创建出隔离、可移植且易于部署的环境，其运行方式与应用程序相似。

该框架的主要目标是简化系统管理员和开发人员的工作流程，通过提供一个统一的接口来实现。此接口融合了FreeBSD的基本工具，自动化了Jail环境的创建和管理流程，使得复杂操作变得简单直接。

AppJail提供了一种高效且直观的方法来处理复杂的系统部署和管理任务。

AppJail手册：AppJail Handbook

 源码：GitHub - DtxdF/AppJail: Simple and easy-to-use tool for creating portable jails.

 安装

使用pkg直接安装

pkg install -y appjail

配置文件在这里：/usr/local/etc/appjail/appjail.conf

如果需要开机启动，需要在/etc/rc.conf文件中加入：appjail_enable=YES

可以使用命令：

sysrc appjail_enable=YES

简单使用

appjail fetch

显示：

appjail fetch
[00:00:00] [ debug ] Running (www): fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-RELEASE/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-RELEASE"/"MANIFEST"
/usr/local/appjail/cache/components/amd64/14.1        1046  B 5237 kBps    00s
[00:03:24] [ debug ] Done: base.txz

3分半搞定，而且时间显示是灰色的，看着很高级的感觉。

然后快速执行

appjail quick myjail start login

appjail quick myjail start login
[00:00:00] [ debug ] [myjail] quick parameters: start login
 

[00:00:12] [ info  ] [myjail] Done.
[00:00:12] [ debug ] [myjail] Copying /etc/localtime as /usr/local/appjail/jails/myjail/jail/etc/localtime
[00:00:12] [ debug ] [myjail] Copying /etc/resolv.conf as /usr/local/appjail/jails/myjail/jail/etc/resolv.conf
[00:00:12] [ debug ] [myjail] Setting the boot flag to the myjail jail ...
[00:00:17] [ debug ] [myjail] Template generated:
[00:00:17] [ debug ] [myjail]     exec.start: "/bin/sh /etc/rc"
[00:00:17] [ debug ] [myjail]     exec.stop: "/bin/sh /etc/rc.shutdown jail"
[00:00:17] [ debug ] [myjail]     mount.devfs
[00:00:28] [ debug ] [myjail] Locking myjail ...
[00:00:28] [ info  ] [myjail] Starting myjail...

[00:01:27] [ debug ] [myjail] Trying to log in to myjail ...
FreeBSD 14.1-RELEASE (GENERIC) releng/14.1-n267679-10e31f0946d8

Welcome to FreeBSD!

Release Notes, Errata: https://www.FreeBSD.org/releases/
Security Advisories:   https://www.FreeBSD.org/security/
FreeBSD Handbook:      https://www.FreeBSD.org/handbook/
FreeBSD FAQ:           https://www.FreeBSD.org/faq/
Questions List:        https://www.FreeBSD.org/lists/questions/
FreeBSD Forums:        https://forums.FreeBSD.org/

Documents installed with the system are in the /usr/local/share/doc/freebsd/
directory, or can be installed later with:  pkg install en-freebsd-doc
For other languages, replace "en" with a language code like de or fr.

Show the version of FreeBSD installed:  freebsd-version ; uname -a
Please include that output and any error messages when posting questions.
Introduction to manual pages:  man man
FreeBSD directory layout:      man hier

To change this login announcement, see motd(5).
root@myjail:~ # 
1分半，jail从创建到启动就完成了

看下系统：

uname -a
FreeBSD myjail.appjail 14.1-RELEASE FreeBSD 14.1-RELEASE releng/14.1-n267679-10e31f0946d8 GENERIC amd64

当然现在系统还没有配置好网络，需要进行配置

配置
 

/usr/local/etc/appjail/appjail.conf:

EXT_IF=jext
ON_IF=jext
FREEBSD_VERSION=13.2-RELEASE
FREEBSD_ARCH=amd64
IMAGE_ARCH=amd64
SHORTEN_DOMAIN_NAMES=1
# Remove the # character if you want to use ZFS with AppJail.
#ENABLE_ZFS=1

配置网络

网络方面没有调通。

启动的时候直接配上ip

appjail quick myjail alias=igb0 ip4="192.168.1.120/24" overwrite start

当然网桥没有配置好，所以这里暂时没有成功。

配置网段

执行命令

appjail network add development 192.168.1.0/24

appjail network add development 192.168.1.0/24
[00:00:01] [ debug ] Network information:
[00:00:01] [ debug ]     - ADDRESS=192.168.1.0
[00:00:01] [ debug ]     - NETWORK=192.168.1.0
[00:00:01] [ debug ]     - NETMASK=255.255.255.0
[00:00:01] [ debug ]     - CIDR=24
[00:00:01] [ debug ]     - WILDCARD=0.0.0.255
[00:00:01] [ debug ]     - BROADCAST=192.168.1.255
[00:00:01] [ debug ]     - MINADDR=192.168.1.1
[00:00:01] [ debug ]     - MAXADDR=192.168.1.254
[00:00:01] [ debug ]     - ADDRESSES=254
[00:00:01] [ debug ]     - NAME=development
[00:00:01] [ debug ]     - DESCRIPTION=
[00:00:01] [ debug ]     - GATEWAY=192.168.1.1
[00:00:01] [ debug ] Done.

删除配置网段

appjail network remove -f development

删除之后配置到192.168.3.0网段

appjail network add development 192.168.3.0/24

不过这里没有再配上去，显示报错：

[00:00:00] [ error ] The development network is already created.

 设定jail的虚拟网卡地址

appjail quick myjail \
    virtualnet="development:myjail" \
    overwrite \
    start

查看ip

 appjail network hosts -REj myjail

appjail network hosts -REj myjail
192.168.1.2    development
 可见已经拿到了192.168.1.2网络地址

 ping一下试试

appjail cmd jexec otherjail ping -c4 192.168.1.1

能ping通。 

不过现在因为跟外面的192.168.1.0/24网段冲突，所以还不能上外网，不过至少整个流程基本ok了。

基本操作流程

启动一个已经创建好的jail

 appjail start myjail

登录

 appjail login myjail

登进去之后，可以使用exit退出登录 

 停止jail

appjail stop webapp

 导出jail

 appjail image export -t py -c zstd webapp

执行后显示：

myjail is currently running.
root@fbhost:~ # appjail image export -t pytt -c zstd myjail
[00:00:11] [ info  ] [myjail] Exporting myjail ...
[00:00:11] [ debug ] [myjail] Generating /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail ...
[00:00:12] [ info  ] [myjail] Done.
[00:00:12] [ debug ] [myjail] Setting (ajspec): tags: pytt
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.arch: amd64
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.name: "myjail"
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.timestamp.amd64: 1717590767
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.sum.amd64: 3b9719c5d5e35d474b07fca8c161ca9ef2f2fa64e8e0f0efe59f28cb3d573f83
[00:00:12] [ debug ] [myjail] Setting (ajspec): pytt.size.amd64: 878988
[00:00:12] [ info  ] [myjail] Saved as /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail
文件大小800k 

看看myjail的信息

appjail image metadata info myjail 
Name            :    myjail (pytt)
Build on        :
  - amd64
Image           :    amd64
  - SHA256 = 3b9719c5d5e35d474b07fca8c161ca9ef2f2fa64e8e0f0efe59f28cb3d573f83
  - SIZE = 878988
  - TIMESTAMP = Wed Jun  5 20:32:47 2024
Installed       :
  - /usr/local/appjail/cache/images/myjail/pytt-amd64-image.appjail

上传jail到github

# scp \
    /usr/local/appjail/cache/images/webapp/py-amd64-image.appjail \
    root@192.168.1.107:/var/mks/makejails/darkhttpd/appdata/AppJail-images/webapp
...
# cp /usr/local/appjail/cache/images/webapp/py-amd64-image.appjail /tmp/imgs/AppJail-images/webapp
# git clone git@github.com:DtxdF/webapp-image
...
# cp /usr/local/appjail/cache/images/webapp/.ajspec webapp-image
# appjail image metadata set -t py -f webapp-image/.ajspec source:amd64="http://localhost:8080/AppJail-images/webapp/py-amd64-image.appjail"
# appjail image metadata set -t py -f webapp-image/.ajspec source:amd64+="http://192.168.1.107:8080/AppJail-images/webapp/py-amd64-image.appjail"
# git -C webapp-image add .ajspec
# git -C webapp-image commit -m 'Add ajspec file'
# git -C webapp-image push
...

 还没看懂这部分，感觉是把img存盘文件设为.ajsped文件上传到github的？ 是不能用原名：py-amd64-image.appjail 还是怎么回事？ 这部分试验以后再做。

从github导入jail

appjail image import -t py gh+DtxdF/webapp-image

AppJail特有的tiny jail

TinyJails是AppJail的一个功能，用于导出仅包含运行应用程序所需文件的jail。

先创建一个hello.c文件

#include <stdio.h>
#include <stdlib.h>

int
main(void)
{
printf("Hello, world!\n");
return EXIT_SUCCESS;
}

生成files.lst 文件，里面只有一句

/usr/local/bin/hello

编译执行

cc -o hello hello.c

appjail quick tinyjail
appjail cmd local tinyjail mkdir -p usr/local/bin
appjail cmd local tinyjail mv "$PWD/hello" usr/local/bin


appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail

cc -o hello hello.c

appjail quick tinyjail
appjail cmd local tinyjail mkdir -p usr/local/bin
appjail cmd local tinyjail mv "$PWD/hello" usr/local/bin

appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail

显示：

appjail jail create -I tiny+export="files:files.lst output:hello.appjail compress:xz" tinyjail
[00:00:00] [ info  ] [tinyjail] Exporting tinyjail as a tiny jail ...
[00:00:00] [ debug ] [tinyjail] (1/2): Checking /usr/local/bin/hello ...
[00:00:00] [ debug ] [tinyjail] (2/2): Ignoring empty line...
[00:00:01] [ debug ] [tinyjail] (1/1): Copying usr/local/bin/hello ...
[00:00:01] [ debug ] [tinyjail] Generating hello.appjail ...
[00:00:01] [ info  ] [tinyjail] Done.
 

在其它机器上，我们可以安装并执行这个tiny jail

appjail jail create -I tiny+import=hello.appjail hello_tiny

appjail start hello_tiny

appjail cmd jexec hello_tiny hello

#Hello, world!

appjail cmd jexec hello_tiny hello
Hello, world!

总结

AppJail是非常好的Jail管理软件。当然由于个人原因，网络这块还没调通，先搁置。

调试

appjail fetch 的时候报错Not Found 

appjail fetch
[00:00:00] [ debug ] Running (www): fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-BETA3/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-BETA3"/"MANIFEST"
fetch: https://download.freebsd.org/releases/amd64/14.1-BETA3/MANIFEST: Not Found
[00:00:01] [ error ] `fetch -Rpm -o "/usr/local/appjail/cache/components/amd64/14.1-BETA3/default/MANIFEST" "https://download.freebsd.org/releases/amd64/14.1-BETA3"/"MANIFEST"` exits with a non-zero exit status.
现在是14.1-RC ，升级FreeBSD，具体见：使用freebsd-update 升级FreeBSD-CSDN博客