Как работает изоляция процессов с помощью Jail в FreeBSD?

Изоляция процессов с помощью Jail в FreeBSD работает за счёт создания безопасной «клетки», внутри которой можно исполнять даже потенциально опасное программное обеспечение. ru.wikipedia.org

В основу Jail вошёл системный вызов chroot(2), при котором для текущего процесса и всех его потомков корневой каталог переносится в определённое место на файловой системе. ru.wikipedia.org Таким образом, изолированный процесс может иметь доступ только к низлежащему дереву каталогов. ru.wikipedia.org

Кроме того, Jail имеет поддержку на уровне ядра, что позволяет ограничивать доступ к сети, общей памяти, переменным ядра sysctl и ограничивать видимость процессов вне Jail. ru.wikipedia.org

Некоторые ограничения, которые накладывает Jail:

• Процесс, заключённый в Jail, может иметь доступ только к определённым IP-адресам операционной системы и использовать определённый hostname. ru.wikipedia.org
• Запрещено изменять работающее ядро путём прямого доступа и загрузки модулей. en.wikipedia.org
• Запрещено изменять большинство системных каталогов и securelevel. en.wikipedia.org
• Запрещено изменять конфигурацию сети, включая интерфейсы, интерфейсные или IP-адреса, а также таблицу маршрутизации. en.wikipedia.org
• Доступ к перенаправляющим и маршрутизирующим сокетам также запрещён. en.wikipedia.org
• Монтирование и размонтирование файловых систем запрещено. en.wikipedia.org
• Заключённые в Jail процессы не могут создавать узлы устройств. en.wikipedia.org

Таким образом, с помощью Jail создаётся среда, в которой даже процесс с правами суперпользователя не может существенно нарушить работу операционной системы в целом. samag.ru