Изоляция процессов с помощью Jail в FreeBSD работает за счёт создания безопасной «клетки», внутри которой можно исполнять даже потенциально опасное программное обеспечение. 1

В основу Jail вошёл системный вызов chroot(2), при котором для текущего процесса и всех его потомков корневой каталог переносится в определённое место на файловой системе. 1 Таким образом, изолированный процесс может иметь доступ только к низлежащему дереву каталогов. 1

Кроме того, Jail имеет поддержку на уровне ядра, что позволяет ограничивать доступ к сети, общей памяти, переменным ядра sysctl и ограничивать видимость процессов вне Jail. 1

Некоторые ограничения, которые накладывает Jail:

• Процесс, заключённый в Jail, может иметь доступ только к определённым IP-адресам операционной системы и использовать определённый hostname. 1
• Запрещено изменять работающее ядро путём прямого доступа и загрузки модулей. 2
• Запрещено изменять большинство системных каталогов и securelevel. 2
• Запрещено изменять конфигурацию сети, включая интерфейсы, интерфейсные или IP-адреса, а также таблицу маршрутизации. 2
• Доступ к перенаправляющим и маршрутизирующим сокетам также запрещён. 2
• Монтирование и размонтирование файловых систем запрещено. 2
• Заключённые в Jail процессы не могут создавать узлы устройств. 2

Таким образом, с помощью Jail создаётся среда, в которой даже процесс с правами суперпользователя не может существенно нарушить работу операционной системы в целом. 3