我一直在研究可能的操作系统以托管网站并对安全感兴趣。我真的很喜欢FreeBSD监狱系统,并了解OpenBSD由于可能剥削种族条件,几年前就停止了其监狱系统。我的一般问题是:在C中写一个不依赖OpenBSD源代码的改变的监狱是否可行?还是有必要在内核等中进行调整等,以使监狱正常工作?
例如,一个人可以为OpenBSD(VMM(中的新虚拟机编写包装器,从而使用户无法访问虚拟机以外的任何内容?还是基本上是不可能的,因为由于OpenBSD的编码方式或C与之相互作用,总会有一种闯入系统的方法?
在C中写一个监狱,这不依赖于更改OpenBSD的源代码?还是有必要制作内核等中的调整等,以便监狱正确工作?
否,是。
监狱的全部要点是将系统分为几个独立的迷你系统。它们都共享相同的内核,并且与VM相比。
明显少得多。 OpenBSD确实支持chroot(8),但监狱功能远远超过Chroot。例如,如果要妥协您的Chroot环境,您可能会脱离Chroot环境。这将允许对整个系统的根控制。如果您的监狱被妥协,他们只有根源在监狱上。