В далеком 2007-м году автор столкнулся с проблемой когда один из сайтов был взломан, и злоумышленник получил доступ к консоле сервера. Присутствие постороннего было обнаружено, только через два часа и за это время он успел дотянуться до других серверов, которые находились в dmz. С тех пор я предпочитаю рассаживать сайты по разным jail-ам и максимально изолировать их друг от друга и от базового сервера, для того чтоб максимально усложнить жизнь очередному хакеру.

Начнем с создания пустой клетки, из которой потом по необходимости будет клонировать рабочие. В принципе можно каждый раз клетку создавать с нуля.

Создаем файловую систему для клеток, и внутри нее еще одну ФС для клетки с лимитом в 5Gb:

zfs create -o mountpoint=/jails zroot/jails
zfs create -o quota 5G zroot/jails/empty

Скачиваем архив с базовой системой и разворачиваем его:

cd /jails/empty
fetch http://ftp.ru.freebsd.org/pub/FreeBSD/releases/amd64/12.1-RELEASE/base.txz
tar xvJf ./base.txz
rm -f ./base.txz

Обновляем систему внутри будущей клетки:

freebsd-update -b /jails/empty/ fetch install

Теперь базовая пустая клетка готова. При необходимости новую jail можно создать на ее основе при помощи команды zfs clone:

zfs snapshot zroot/jails/empty@12.1 && zfs list -t snapshot
zfs clone zroot/jails/empty@12.1 zroot/jails/www

Поскольку мы хотим максимально изолировать клетку от внешнего мира и от базового сервера, то работать с интернетом они будут через сетевой мост.

Создадим два интерфейса для двух разных клеток. В /rtc/rc.conf прописываем:

cloned_interfaces="bridge0 epair0 epair1"
ifconfig_bridge0="inet 10.0.0.1/24 addm epair0b addm epair1b up"
ifconfig_epair0b="up"
ifconfig_epair1b="up"

Поднимаем интерфейсы:

service netif cloneup

По умолчанию у клеток не будет доступа в интернет, но он потребуется для установки и обновления ПО. Поэтому в /etc/pf.conf прописываем:

nat on $ext_if from 10.0.0.0/24 to any -> ($ext_if)

table <jails> persist

pass inet proto tcp from <jails> to any port { http, https } flags S/SA keep state

применяем новые правила:

service pf reload

Теперь для того, чтоб предоставить клетке доступ в интернет для обновления ПО достаточно просто добавить в таблицу jails необходимые ip адреса.

Создаем /etc/jail.conf:

exec.start = "/bin/sh /etc/rc";
exec.stop = "/bin/sh /etc/rc.shutdown";
exec.clean;
mount.devfs;
path = "/jails/$name";
exec.consolelog = "/var/log/jail_${name}_console.log";

www {
        $vif = "epair0a";

        host.hostname = "www.local";
        vnet;
        vnet.interface = $vif;

        # workaround
        # https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=238326
        exec.prestop  += "ifconfig $vif -vnet $name";

        allow.chflags;
        devfs_ruleset = 10;
}

Так же перед запуском надо настроить сеть внутри самой клетки. Для этого создаем файлы rc.conf:

echo 'defaultrouter="10.0.0.1" \
ifconfig_epair0a="10.0.0.2/24" >> /jails/www/etc/rc.conf

и файл resolv.conf:

echo 'nameserver 10.0.0.1' >> /jails/www/etc/resolv.conf

Даем клетке временный доступ в интернет:

pfctl -t jails -Ta 10.0.0.2

Включаем и запускаем сервис:

service jail enable
service jail start

Посмотреть список запушенных клеток:

jls

Обновляем pkg внутри клетки и устанавливаем zsh:

pkg -j www upgrade
pkg -j www install zsh

Заходим в консольк клетки:

jexec www

Устанавливаем apache с поддержкой php и mysql:

pkg install apache24
pkg install php74 mod_php74 php74-extensions php74-mysqli

Для поддержки php добавляем в httpd.conf:

<IfModule mime_module>

     [...]

    AddType application/x-httpd-php .php .php3 .phtml
    AddType application/x-httpd-php-source .phps

</IfModule>

Запускаем:

service apache24 enable
service apache24 start

Осталось только установить и настроить nginx, чтоб он работал как прокси для apache.

pkg install nginx

Пример конфигурационного файла:

worker_processes  1;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    server_tokens  off;
    sendfile        on;

    keepalive_timeout  65;

    server {
        listen       80  default_server;
        listen      443  default_server;
        server_name  _;
        access_log off;
        log_not_found off; # Optional
        return       444;

	ssl_certificate /usr/local/etc/nginx/ssl/bhole.crt;
	ssl_certificate_key /usr/local/etc/nginx/ssl/bhole.key;
    }

    server {
        listen 80;
        server_name www.nzgw.ru;

        rewrite ^(.*) https://$server_name$1 permanent;
    }

    server {
        listen 443 ssl;
        server_name www.nzgw.ru nzgw.ru;

        ssl_certificate /usr/local/etc/letsencrypt/live/nzgw.ru/fullchain.pem;
        ssl_certificate_key /usr/local/etc/letsencrypt/live/nzgw.ru/privkey.pem;
        ssl_trusted_certificate /usr/local/etc/letsencrypt/live/nzgw.ru/chain.pem;

        ssl_prefer_server_ciphers on;
        ssl_session_timeout 1d;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
        ssl_dhparam /usr/local/etc/ssl/dh2048.pem;

        location / {
            proxy_pass http://10.0.0.2;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto https;
          }
    }
}