FreeBSD8.0下jail虚拟机完全实践(1)在Linux下实现虚拟化我们使用Xen或者KVM；在Windows下实现虚拟化我们使用VMware或Hyper-V。相对应的说到BSD系统下的虚拟化解决方案那么jail是不能不提的。本文将介绍如何在FreeBSD8.0下使用jail来搭建一个小规模开发环境。在Linux下实现虚拟化我们使用Xen或者KVM；在Windows下实现虚拟化我们使用VMware或Hyper-V。相对应的说到BSD系统下的虚拟化解决方案那么jail是不能不提的。严格来说jail算是一种安全工具但经过了多年的开发jail已经是一个相当成熟的虚拟化解决方案十分适合布置小规模的开发服务器环境。本文将介绍FreeBSD8.0下使用jail来搭建一个小规模开发环境的详细步骤。推荐专题：企业内网开发环境部署与管理全攻略（FreeBSD+PHP）jail是什么BSD类操作系统从BSD4.2开始即提供了chroot。chroot工具能够改变一组进程的根目录的位置从而建立一个与系统中其他部分相隔离的安全环境在chroot环境中的进程将无法访问其外的文件或其他资源。正是由于这种能力即使攻击者攻破了某一个运行于chroot环境的服务也不能攻破整个系统。chroot对于那些不需要很多灵活性或复杂的高级功能的简单应用而言相当好用。另外在引入chroot概念的过程中曾经发现过许多跳出chroot环境的办法。尽管这些问题在较新的FreeBSD版本中已经修正但很明显地chroot并不是一些用于加固服务器安全的理想解决方案。因此必须实现一个新的子系统来解决这些问题jail便应运而生了。jail以多种方法改进了传统的chroot环境概念。传统的chroot环境只限制了进程能够访问文件系统的哪些部分其他部分的系统资源(例如系统用户、正在运行的进程以及网络子系统)是由chroot进程与宿主系统中的其他进程共享的。jail扩展了这个模型它不仅将文件系统的访问虚拟化而且还将用户、FreeBSD的网络子系统以及一些其他系统资源虚拟化。jail应用环境我们实际的开发环境用了一台8核CPU、16G内存的服务器充当宿主机开了大约六七台jail机作内部开发和测试使用效果还是比较让大家满意的。就是FreeBSD自身一样简单和稳定是其主要特点；特别是相对于Vmware的ESXI而言配置起来要简单很多。安装前的准备工作：宿主机的性能尽量高些内存是越大越好；/usr目录越大越好我分的/usr大约300-400G；为了权限和安装的便利我的操作均是以root进行。虚拟机上jail的IP跟我的宿主IP分别为192.168.43.128和192.168.43.129物理bridge直接。jail的安装①第一步就是为jail选择一个位置。这个路径是在宿主系统中jail的物理位置。一种常用的选择是/usr/jail/jailname此处jailname是jail的主机名。对于“完整”的jail而言它通常包含了FreeBSD默认安装的基本系统中每个文件的副本。这里我创建了apache目的是做一个apache服务的jailmkdir-p/usr/jail/apache②编译源码cd/usr/src/usr/src可以选择用sysisntall-->configure-->src-->DVD/CD来安装这样速度最快。makebuildworld③新建worldmakeinstallworldDESTDIR=/usr/jail/apache④安装配置文件makedistributionDESTDIR=/usr/jail/apachedistribution这个maketarget将安装全部配置文件或者换句话说就是将/usr/src/etc/复制到jail环境中的/etc※安装jail的过程也是熟悉FreeBSD目录结构的过程。⑤安装devfs在jail中不是必须要挂接devfs(8)文件系统。而另一方面几乎所有的应用程序都会需要访问至少一个设备这主要取决于应用程序的性质和目的。控制jail中能够访问的设备非常重要因为不正确的配置很可能允许攻击者在jail中进行一些恶意的操作。通过devfs(8)实施的控制可以通过由联机手册devfs(8)和devfs.conf(5)介绍的规则集配置来实现但为了以后能方便的ssh到jail上这里建议安装。我直接在宿主机的/etc/rc.conf里添加如下内容jail_apache_devfs_enable="YES"#在jail中挂接devfs⑥配置宿主机的/etc/rc.confvim/etc/rc.conf添加内容如下：jail_en