Jailアドミニストレーションフレームワークであるezjailの最新版、ezjail version 1.0が公開された。ezjail version 1.0は16日(現地時間)、最新のFreeBSD portsツリー(sysutils/ezjail)に登録されている。

FreeBSDにはサービスの動作をプラットフォームから切り放し、サービス専用の仮想環境を提供する機能としてThe Jail Subsystemが用意されている。JailはFreeBSD独自の機能で、chroot(8)の機能をさらに強化したような機構のこと。Jail内で動作しているプロセスは許可されたディレクトリ以下の資源にしかアクセスすることができず、Jailより外のプロセスにアクセスすることもできない。

Jailはサービスをホストから切り放すことで、あるサービスがクラックされた場合でも堅固なシステムを維持できるといわれている。高いセキュリティを要求されるシステムに対して、Jailは重要なアプローチのひとつだとみられている。Jailを使うとFreeBSDホスト上に複数のFreeBSD仮想ホストを作成するといったこともできる。複数の仮想化技術と比較した場合、Jailはホストからの制御ができ、実行速度も高速という特徴がある。

複数のサービスをそれぞれ独立的にJialでホストから分離する場合、それぞれのサービスごとにJailディレクトリを用意する必要がある。Jailでは指定されたディレクトリ以下にのみアクセスを許可するため、仮想ホストを用意する場合には、仮想ホストごとにディレクトリ以下を作成する必要があり、手間もかかり、ディスクスペースも消費する。

ezjail version 1.0は、FreeBSD nullfs機能を使うことでこの問題を解決しようとするアプリケーション。nullfsはファイルシステムのサブツリーを別のサブツリーにマウントして使用できるようにする機能のことで、機能自体は4.4BSDから存在する。ezjailではnullfsを使用することで、ひとつのツリーから複数のJailツリーを生成する。このため、仮想ホストを用意するような大規模の複数Jailツリーを用意した場合でも、ディスク容量を抑えることができ、また実体がひとつになることから、アップデート管理も容易になる。

ezjail自体はシェルスクリプトで構成されたシンプルなスクリプト。Beerware license(※)のもと公開されているオープンソースソフトウェア。安定して動作するnullfs機能が求められることから、FreeBSD portsからインストールする場合にはFreeBSD 6.0かそれ以降のバージョンでのみインストールできる。

※: Beerware licenseは実質的に制限のないオープンソースライセンス。最終的にPoul-Henning Kamp氏によって提案されたものがよく使われる。もしいつか会うことがあってその気があったらビールでもおごってくれというジョークを含んでいることで有名