Sysjail: Container-Virtualisierung für BSD

Unter FreeBSD gibt es schon länger die so genannten "Jails", ein Virtualisierungsansatz auf Betriebssystemebene, den Sun in Solaris als "Container" integriert hat. Damit lassen sich Systeme in mehrere unabhängige Systeme unterteilen. Jedes Jail hat seine eigenen Benutzer, Dateien und Prozesse und läuft isoliert von den anderen virtuellen Umgebungen sowie dem Hostsystem, nutzt aber dessen Kernel.

Mit Sysjail gibt es nun eine Jails-Umsetzung für andere BSD-Derivate, die die Systrace-Bibliothek verwenden. Diese setzt Regeln gegenüber Prozessen durch und beschränkt so deren Zugriff auf das System. Systrace fängt dafür alle Systemaufrufe der Anwendungen ab. Versucht sich ein Prozess über die Regeln hinwegzusetzen, warnt Systrace den Nutzer.

Wie bei den original FreeBSD Jails haben Systeme in einem Sysjail keinen Zugriff auf die Ressourcen des Hostsystems. Zwar stellt Sysjail derzeit hauptsächlich eine Jails-Implementierung für die drei BSD-Derivate NetBSD, OpenBSD und MirOS dar, im Unterschied zu der FreeBSD-Implementierung gibt es jedoch noch zusätzliche Werkzeuge. Außerdem soll sich gezielter festlegen lassen, welche Rechte die Gäste besitzen.

Auf der Projektseite bieten die Entwickler Anleitungen zur Einrichtung von Sysjails und geben mit Benchmarks Auskunft über die Leistungsfähigkeit der Implementierung.

Für die Zukunft sind auch Portierungen von Sysjail auf Linux 2.4 und 2.6, auf FreeBSD und auf MacOS X vorgesehen.

Sysjails 1.0 steht ab sofort als Download im Quelltext und als Paket für NetBSD und OpenBSD bereit. MirOS wird zwar ebenfalls unterstützt, fertige Pakete gibt es jedoch nicht.