FreeBSD & Jail

FreeBSD & Jail(2)
jail path hostname ip-number command

下面开始在jail里面运行它：

tester# jail /jail jailed.host.name $JAILED_IP_ADDR /usr/local/sbin/pure-ftpd [options]

这里，/jail是你的jail环境的位置，也就是被jail之后，应用程序“以为”自己所在的“/”的位置；jailed.host.name 是你打算提供给这个jail环境的主机名，某些情况下，应用程序需要知道这个变量；$JAILED_IP_ADDR是你打算提供ftp服务（如果是其他应用软件，那就是其他服务咯，比如web服务）的那个IP地址，至于/usr/local/sbin/pure-ftpd [options] 则是你打算运行的那个应用程序在jail里面的所在位置以及运行所需的参数。
然后用ps 查看一下进程状态：

tester# ps -axf grep pureftpd
95 ?? IsJ 0:00.92 pure-ftpd (SERVER) (pure-ftpd)

可以看到所有这些pure-ftpd的进程都有一个J，标志这这一程序正在jail下面运行。
这时候可能会有一些管理用的程序无法正常工作，因为这些管理用程序无法找到他们需要访问的那些文件，只要找到这些应用程序需要调用的文件（比如日志文件）的位置，然后制造一个soft link就可以了，通常这些管理程序都可以继续正常运行。
到此为止，一个针对应用程序的jail构造完成。
第二类，构造受控制的主机
在这种情况下面，我们首先需要构造一个当前版本操作系统的完整镜像（下面这个脚本是从FreeBSD 4.6r的man page里面来的，实际上4.5以及之前的man page在构造jail目录树脚本上面都有一定的问题，4.6才纠正过来）：

tester# cat >>/root/mkjail.sh
jailhome=/data/jail
cd /usr/src
mkdir -p $jailhome
make world DESTDIR=$jailhome
cd etc
make distribution DESTDIR=$jailhome -DNO_MAKEDEV_RUN
cd $jailhome/dev
sh MAKEDEV jail
cd $jailhome
ln -sf dev/null kernel
^D
tester# sh /root/mkjail.sh

最后在/data/jail下面获得一个完整的根据当前源码树编译得来的jail目录树。
接下来：

/*
tester# mkdir $jailhome/stand
tester# cp /stand/sysinstall $jailhome/stand
tester# jail $jailhome jailed.system.box 192.168.0.123 /bin/CSh
（这时候就获得了一个jail下面的shell）
jailed# /stand/sysinstall
*/

通过sysinstall这个程序可以对jail系统的常用变量进行设置，比如时区，DNS，Mail。还有jail系统在“启动”的时候需要执行的程序。
如果你足够熟悉这个系统，可以考虑自己手工一个个的做过来。
复制/etc/localtime 到 $jailhome/etc，使jail环境下的应用程序可以得到正确的时间；
复制/etc/resolv.conf 到 $jailhome/etc/resolv.conf 使jail下面可以正确解释域名；
在jail里面运行newaliases 避免sendmail的不断抱怨；
如果打算运行inetd，需要修改inetd的启动参数，加上 -a $LISTEN_ADDR 选项（因为jail无法自己获得当前系统的ip地址，所以必须提供一个ip地址给它）在rc.conf里面看起来应该是这样：