[freebsd] AWS Tech Conference

[Eugene Grosbein]

On 28.06.2022 13:33, Vladimir Sharun wrote:
> Привет,
> 
>     Jail это chroot плюс опционально виртуализированный сетевой стек
>     плюс запрет руту из клетки влиять на хост. Не виртуальная машина даже близко,
>     для этого bhyve.
> 
> 
> Чуть больше:
> 
>   * процессы работают в собственном jailspace назовем его так, которые грохаются вместе с jail

В клетке они работают, понятия jailspace я не видел. Разумеется, убиваются при уничтожении клетки,
но убийство группы или групп процессов не уникальная фича для jail :-) Просто удобно убивать пачку
возможно неродственных процессов, согласен.

>   * affinity

Process affinity уж точно не уникальная фича клеток, cpuset универсален.

>   * Limit the number of commands from exec.*

Это о чём?

>   * Следующие sysctl'ки дают приблизительный обзор ограничений:
> 
> 
> security.bsd.see_jail_proc: 1
> security.jail.mount_tmpfs_allowed: 0
> security.jail.mount_zfs_allowed: 0
> security.jail.mount_procfs_allowed: 0
> security.jail.mount_devfs_allowed: 0
> security.jail.param.sysvshm.: 0
> security.jail.param.sysvsem.: 0
> security.jail.param.sysvmsg.: 0
> security.jail.param.allow.mount.tmpfs: 0
> security.jail.param.allow.mount.zfs: 0
> security.jail.param.allow.mount.procfs: 0
> security.jail.param.allow.mount.devfs: 0
> security.jail.param.allow.mount.: 0
> security.jail.param.allow.suser: 0
> security.jail.param.allow.unprivileged_proc_debug: 0
> security.jail.param.allow.read_msgbuf: 0
> security.jail.param.allow.reserved_ports: 0
> security.jail.param.allow.mlock: 0
> security.jail.param.allow.socket_af: 0
> security.jail.param.allow.quotas: 0
> security.jail.param.allow.chflags: 0
> security.jail.param.allow.raw_sockets: 0
> security.jail.param.allow.sysvipc: 0
> security.jail.param.allow.set_hostname: 0
> security.jail.param.ip6.saddrsel: 0
> security.jail.param.ip6.: 0
> security.jail.param.ip4.saddrsel: 0
> security.jail.param.ip4.: 0
> security.jail.param.cpuset.id: 0
> security.jail.param.host.hostid: 0
> security.jail.param.host.hostuuid: 64
> security.jail.param.host.domainname: 256
> security.jail.param.host.hostname: 256
> security.jail.param.host.: 0
> security.jail.param.children.max: 0
> security.jail.param.children.cur: 0
> security.jail.param.dying: 0
> security.jail.param.vnet: 0
> security.jail.param.persist: 0
> security.jail.param.devfs_ruleset: 0
> security.jail.param.enforce_statfs: 0
> security.jail.param.osrelease: 32
> security.jail.param.osreldate: 0
> security.jail.param.securelevel: 0
> security.jail.param.path: 1024
> security.jail.param.name: 256
> security.jail.param.parent: 0
> security.jail.param.jid: 0
> security.jail.devfs_ruleset: 0
> security.jail.enforce_statfs: 2
> security.jail.mount_allowed: 0
> security.jail.chflags_allowed: 0
> security.jail.allow_raw_sockets: 0
> security.jail.sysvipc_allowed: 0
> security.jail.socket_unixiproute_only: 1
> security.jail.set_hostname_allowed: 1
> security.jail.jail_max_af_ips: 255
> security.jail.vnet: 0

Это уже пошла детализация того же, о чем я упомянул, про ограничение влияния на хост (и на соседнией jail тоже).
Плюс ещё Mandatory Access Control (MAC) тоже может влиять на клетки.