11.4 Linux Jail

准备工作

本文将所有 jail 绑定到虚拟网络接口 lo1，使其相当于位于 FreeBSD 系统下的一个局域网，其中 FreeBSD 主机充当该局域网的网关。

所有 jail 的网络流量必须通过网络接口 lo1，因此需要启用网络转发，本节使用 pf 防火墙实现此功能。

注意
配置 pf 防火墙是实现网络访问的关键步骤。

准备网络接口

# sysrc cloned_interfaces+="lo1"  # 添加一个克隆网络接口 lo1
# service netif cloneup  # 启用克隆网络接口

准备 pf 防火墙

这里提供两种方式进行配置，请按需选用。

方案一

编辑 /etc/pf.conf，加入：

table <jails> persist
nat pass on em0 inet from <jails> to any -> em0

在 pf 防火墙中建立名为 jails 的表，并指定 persist 标志，使防火墙始终保留该表（即使没有相关规则引用它）。

“表”是 pf 防火墙的一种命名结构，可保存地址和网络的集合。jails 表中的地址可以通过 NAT 访问网络。

可以使用 pfctl 对 jails 表进行添加或删除操作，以控制网络访问。例如：

pfctl -t jails -T add 192.168.5.1 将 192.168.5.1 加入 jails 表使其可以访问网络
pfctl -t jails -T delete 192.168.5.1 将 192.168.5.1 移出 jails 表使其无法访问网络。

这种方法的特点是手动管理较为繁琐，但具有较高灵活性。

方案二

直接在 /etc/pf.conf 中写下规则：

nat pass on em0 inet from 192.168.5.1 to any -> em0

此方法允许 192.168.5.1 访问网络，其特点是规则固化在配置文件中，对于没有特殊需求的场景比较方便。

启用 pf 防火墙

警告
无论你想不想使用防火墙，不这样设置你在 Jail 中都没有网络。

# 启用 pf 防火墙服务开机自启动
# service pf enable

# 启动 pf 防火墙服务
# service pf start

加载必要的 Linux 兼容层内核模块

# 设置 Linux 兼容层服务开机自启动
# service linux enable

# 启动 Linux 兼容层服务
# service linux start

这种方式可以自动加载 Linux 兼容层所需的各个内核模块。

准备目录

# mkdir /usr/jails  # 用于保存建立 jail 的相关文件

创建 debian Jail

下载基本系统

这里以 Debian 12(bookworm) 为例：

构建 Ubuntu/Debian 基本系统：

# pkg install debootstrap  # 安装 debootstrap
# chmod 0700 /usr/local/sbin/debootstrap  # 设置可执行权限
# mkdir -p /usr/jails/debian  # 创建 debian Jail 路径
# debootstrap bookworm /usr/jails/debian https://mirrors.ustc.edu.cn/debian/  # 使用中国科技大学镜像站

示例输出，如下：

I: Retrieving InRelease
I: Retrieving Packages
I: Validating Packages
I: Resolving dependencies of required packages...
I: Resolving dependencies of base packages...
I: Checking component main on https://mirrors.ustc.edu.cn/debian...
I: Retrieving adduser 3.130
I: Validating adduser 3.130
...
I: Extracting usr-is-merged...
I: Extracting util-linux-extra...
I: Extracting zlib1g...

注意
输出末尾可能出现错误提示信息，可忽略。

创建 debian Jail 实例

现在用 Debian 12 基本系统创建 jail 实例，命名为 Debian。

实例的基本配置

创建 /etc/fstab.debian，内容如下：

devfs      /usr/jails/debian/dev      devfs       rw                      0  0
tmpfs      /usr/jails/debian/dev/shm  tmpfs       rw,size=1g,mode=1777    0  0
fdescfs    /usr/jails/debian/dev/fd   fdescfs     rw,linrdlnk             0  0
linprocfs  /usr/jails/debian/proc     linprocfs   rw                      0  0
linsysfs   /usr/jails/debian/sys      linsysfs    rw                      0  0
/tmp       /usr/jails/debian/tmp      nullfs      rw                      0  0

在 /etc/jail.conf 中，加入以下内容（若无则新建）：

debian {                               # jail 名称
  host.hostname = "debian";             # 设置 jail 的主机名
  mount.fstab = "/etc/fstab.debian";    # jail 使用的 fstab 文件：启动或关闭 jail 时，挂载或卸载对应的文件系统
  path = "/usr/jails/debian";           # jail 的根目录路径
  devfs_ruleset = 4;                     # jail 挂载 devfs 的规则集，0 表示无规则集，jail 会继承上级规则集；
                                        # 仅在启用 allow.mount 和 allow.mount.devfs 且 enforce_statfs 小于 2 时可挂载 devfs
  enforce_statfs = 1;                    # 设置为 0：所有挂载点可用，无限制
                                        # 设置为 1：仅 jail 根目录下的挂载点可见
                                        # 设置为 2（默认）：只能在 jail 根目录所在挂载点操作，无法挂载 devfs、tmpfs 等
  allow.mount;                          # 允许挂载文件系统
  allow.mount.devfs;                     # 允许挂载 devfs
  exec.start = "/bin/true";              # jail 启动时执行的命令
  exec.stop = "/bin/true";               # jail 停止时执行的命令
  persist;                               # 允许 jail 在无任何进程情况下仍然存在
  allow.raw_sockets;                      # 允许使用 raw Socket，例如 ping
  interface = "lo1";                      # 使用 lo1 作为网络接口
  ip4.addr = 192.168.5.1;                 # 指定 IPv4 地址
  ip6 = "disable";                        # 禁用 IPv6
}

exec.start 指定启动 jail 时运行的命令。

在 FreeBSD 中创建 jail 时，一般使用 exec.start = 'sh /etc/rc' 来调用 FreeBSD 的 rc 系统启动服务。

Debian 使用 systemd 作为初始化系统，而 jail 中无法使用 systemd，因此无法直接运行相应命令（但 service 命令仍可使用）。此处使用 /bin/true 安全返回 true（成功状态），不执行任何操作。

例如，在 debian Jail 中启用 sshd 服务后（执行 service ssh start），重启 jail 时 sshd 服务不会随 jail 自动启动。此时可以设置 exec.start = 'service ssh start'，以确保启动 jail 时自动启动 sshd 服务。

如果要启用更多的服务，则可以编写如下。

在 jail 启动时顺序启动 SSH 和 D-Bus 服务：

exec.start += 'service ssh start'
exec.start += 'service dbus start'

exec.stop 停止 jail 时运行的命令。

如果是 FreeBSD jail，通常使用 sh /etc/rc.shutdown jail。

同样由于 systemd 的限制，此处使用 /bin/true 安全返回 true 即可。

启用实例，允许网络访问

启动 jail

# jail -c debian

停止 jail

# jail -r debian

在 pf 防火墙中的 jails 表中加入 jail 的地址，以允许 jail 访问网络：

# pfctl -t jails -T add 192.168.5.1

更新系统

执行：

# jexec debian /bin/bash # 此时位于 FreeBSD！
Debian # apt remove rsyslog  # 此时位于 debian Jail!
Debian # apt update # 此时位于 debian Jail!

或者使用

# 在 debian jail 内执行命令，卸载 rsyslog
# jexec -l debian /bin/bash -c "apt remove rsyslog"

# 在 debian jail 内执行命令，更新软件包索引
# jexec -l debian /bin/bash -c "apt update"

至此，一个基于 Debian 12 的 Linux jail 已成功建立，同样的方法可用于创建基于不同版本的 Debian 或 Ubuntu 的多个 jail。

jail 开机自启

开机时启动 jail 服务：

# service jail enable

默认情况下会启动 /etc/jail.conf 中配置的所有 jail。

另外可以在 /etc/rc.conf 中用 jail_list 变量指定在开机时启动的 jail 的名字，编辑 /etc/rc.conf 写入：

jail_list = "debian"

或执行

# sysrc jail_list+=debian

如果 jail_list 变量为空，则会启动所有在 /etc/jail.conf 中配置的 jail。

创建 Ubuntu jail

Ubuntu jail 的建立方法与 Debian 相同，这里以 Ubuntu 22.04（Jammy）为例。

构建基本系统并配置

# 创建 Ubuntu jail 根目录
# mkdir -p /usr/jails/ubuntu

# 使用 debootstrap 安装 Ubuntu Jammy 系统到 jail，并指定镜像源
# debootstrap jammy /usr/jails/ubuntu https://mirrors.ustc.edu.cn/ubuntu/

创建 /etc/fstab.ubuntu，内容如下：

devfs      /usr/jails/ubuntu/dev      devfs       rw                      0  0
tmpfs      /usr/jails/ubuntu/dev/shm  tmpfs       rw,size=1g,mode=1777    0  0
fdescfs    /usr/jails/ubuntu/dev/fd   fdescfs     rw,linrdlnk             0  0
linprocfs  /usr/jails/ubuntu/proc     linprocfs   rw                      0  0
linsysfs   /usr/jails/ubuntu/sys      linsysfs    rw                      0  0
/tmp       /usr/jails/ubuntu/tmp      nullfs      rw                      0  0

在 /etc/jail.conf 中写入 Ubuntu 的配置，如下：

ubuntu {                               # jail 名称
  host.hostname = "ubuntu";             # 设置 jail 的主机名
  mount.fstab = "/etc/fstab.ubuntu";    # jail 使用的 fstab 文件
  path = "/usr/jails/ubuntu";           # jail 根目录路径
  devfs_ruleset = 4;                     # devfs 挂载规则集
  enforce_statfs = 1;                    # 设置挂载点可见性
  allow.mount;                          # 允许挂载文件系统
  allow.mount.devfs;                     # 允许挂载 devfs
  exec.start = "/bin/true";              # 启动时执行的命令
  exec.stop = "/bin/true";               # 停止时执行的命令
  persist;                               # 即使无进程也保持 jail 存活
  allow.raw_sockets;                      # 允许使用 raw Socket
  interface = "lo1";                      # 指定网络接口
  ip4.addr = 192.168.5.2;                 # 分配 IPv4 地址
  ip6 = "disable";                        # 禁用 IPv6
}

启用实例并允许网络访问

# jail -c ubuntu # 启用实例

如果已经在 /etc/rc.conf 中设置过 jail_enable=YES，也可以用：

# service jail start ubuntu

开机启动可以参考 debian Jail，执行以下命令启动名为 ubuntu 的 jail：

# sysrc jail_list+=ubuntu

在 pf 防火墙中的 jails 表中加入 jail 的地址，以允许 jail 访问网络：

# pfctl -t jails -T add 192.168.5.2 # 允许网络访问

更新系统

# jexec ubuntu /bin/bash # 此时位于 FreeBSD！
Ubuntu # apt remove rsyslog  # 此时位于 Ubuntu Jail!
Ubuntu # apt update # 此时位于 Ubuntu Jail!

或者使用

# 在 ubuntu jail 内执行命令，卸载 rsyslog 软件包
# jexec -l ubuntu /bin/bash -c "apt remove rsyslog"

# 在 ubuntu jail 内执行命令，更新软件包索引
# jexec -l ubuntu /bin/bash -c "apt update"

过程和 debian Jail 相同。

创建 antiX Linux jail

antiX Linux 基于 Debian，不使用 systemd 初始化系统。

下载镜像文件并解压

先安装 squashfs-tools，用以解压 AntiX Linux 文件系统镜像。

使用 pkg 安装：

# pkg install squashfs-tools

antiX Linux 提供了四款镜像版本：full、base、core 和 net，本示例下载 core 版本：

# 下载 antiX 23.2 Core ISO 镜像
# fetch https://mirrors.tuna.tsinghua.edu.cn/mxlinux-isos/ANTIX/Final/antiX-23.2/antiX-23.2_x64-core.iso

# 将 ISO 文件挂载为内存设备
# mdconfig -a -t vnode -f antiX-23.2_x64-core.iso

# 将内存设备挂载到 /mnt，类型为 cd9660
# mount -t cd9660 /dev/md0 /mnt

# 创建 antiX jail 根目录
# mkdir -p /usr/jails/antix

# 解压 squashfs 文件系统到 jail 根目录
# unsquashfs -d /usr/jails/antix /mnt/antiX/linuxfs

# 创建必要的设备节点
# touch /usr/jails/antix/dev/fd
# touch /usr/jails/antix/dev/shm

配置 antiX jail

创建 /etc/fstab.antix，内容如下：

devfs      /usr/jails/antix/dev      devfs       rw                      0  0
tmpfs      /usr/jails/antix/dev/shm  tmpfs       rw,size=1g,mode=1777    0  0
fdescfs    /usr/jails/antix/dev/fd   fdescfs     rw,linrdlnk             0  0
linprocfs  /usr/jails/antix/proc     linprocfs   rw                      0  0
linsysfs   /usr/jails/antix/sys      linsysfs    rw                      0  0
/tmp       /usr/jails/antix/tmp      nullfs      rw                      0  0

在 /etc/jail.conf 中写入 (这里只展示 antiX 相关部分)

antix {                               # jail 名称
  host.hostname = "antix";             # 设置 jail 的主机名
  mount.fstab = "/etc/fstab.antix";    # jail 使用的 fstab 文件
  path = "/usr/jails/antix";           # jail 根目录路径
  devfs_ruleset = 4;                     # devfs 挂载规则集
  enforce_statfs = 1;                    # 设置挂载点可见性
  allow.mount;                          # 允许挂载文件系统
  allow.mount.devfs;                     # 允许挂载 devfs
  exec.start = "/etc/init.d/rc 3";       # 启动 jail 时执行的命令（运行级别 3）
  exec.stop = "/etc/init.d/rc 0";        # 停止 jail 时执行的命令（运行级别 0）
  persist;                               # 即使无进程也保持 jail 存活
  allow.raw_sockets;                      # 允许使用 raw Socket
  interface = "lo1";                      # 指定网络接口
  ip4.addr = 192.168.5.3;                 # 分配 IPv4 地址
  ip6 = "disable";                        # 禁用 IPv6
}

此处将 exec.start 设置为 /etc/init.d/rc 3。

如前文 debian Jail 所述，Debian 使用 systemd 作为初始化系统，而在 jail 中无法使用。因此在 debian Jail 中使用 /bin/true 启动，以安全返回 true 并不执行任何操作。

antiX 不使用 systemd 作为初始化系统，而是使用 rc 进行初始化。此处 /etc/init.d/rc 3 指定 antiX jail 启动时使用 rc 在运行级别 3 初始化 jail，因此 debian Jail 中遇到的服务启动问题在这里不存在，可直接在 jail 启动时运行服务（如 sshd）。

更新系统

设置开机自启，然后启动

# sysrc jail_list+=antix  # 将 antix jail 添加到系统开机启动列表
# jail -c antix   # 或者使用 service jail start antix 前面已经提到

在 pf 中允许网络访问，方法同上。

# pfctl -t jails -T add 192.168.5.3  # 将 IP 地址 192.168.5.3 添加到 pf 防火墙的 jails 表中

现在进入 jail：

# jexec antix /bin/bash     # 物理机（FreeBSD）中
root@antix:/# echo "nameserver 223.5.5.5" > /etc/resolv.conf    # jail 中，注意提示符变化，先设置地址解析，这里使用阿里 DNS
root@antix:/# echo "APT::Cache-Start 90000000;" >> /etc/apt/apt.conf   # `APT::Cache-Start` 可设置 apt 缓存大小，默认 20M 太小，可按提示增大
root@antix:/# apt update         # 可以先修改 `/etc/apt/sources.list.d/` 中的文件以使用镜像站，请参考各镜像站中 Debian 的镜像站设置
root@antix:/# apt upgrade  # 更新系统和软件包
root@antix:/# mandb       # apt upgrade 的时候显示 mandb 有几个权限错误，多执行几遍 `mandb` 命令即可。

创建 Alpine jail

构建基本系统

# 下载 Alpine Linux 3.17.1 minirootfs 镜像
# fetch http://mirrors.ustc.edu.cn/alpine/v3.17/releases/x86_64/alpine-minirootfs-3.17.1-x86_64.tar.gz

# 创建 Alpine jail 根目录
# mkdir -p /usr/jails/alpine

# 解压 minirootfs 到 jail 根目录
# tar zxf alpine-minirootfs-3.17.1-x86_64.tar.gz -C /usr/jails/alpine/

# 创建必要的设备节点
# touch /usr/jails/alpine/dev/shm
# touch /usr/jails/alpine/dev/fd

创建 /etc/fstab.alpine，内容如下：

devfs      /usr/jails/alpine/dev      devfs       rw                      0  0
tmpfs      /usr/jails/alpine/dev/shm  tmpfs       rw,size=1g,mode=1777    0  0
fdescfs    /usr/jails/alpine/dev/fd   fdescfs     rw,linrdlnk             0  0
linprocfs  /usr/jails/alpine/proc     linprocfs   rw                      0  0
linsysfs   /usr/jails/alpine/sys      linsysfs    rw                      0  0
#/tmp       /usr/jails/alpine/tmp      nullfs      rw                      0  0

在 /etc/jail.conf 中写入，

alpine {                               # jail 名称
  host.hostname = "alpine";             # 设置 jail 的主机名
  mount.fstab = "/etc/fstab.alpine";    # jail 使用的 fstab 文件
  path = "/usr/jails/alpine";           # jail 根目录路径
  devfs_ruleset = 4;                     # devfs 挂载规则集
  enforce_statfs = 1;                    # 设置挂载点可见性
  allow.mount;                          # 允许挂载文件系统
  allow.mount.devfs;                     # 允许挂载 devfs
  exec.start = "/bin/true";              # minirootfs 中未初始化系统，暂使用 /bin/true，后续会设置 openrc
  exec.stop = "/bin/true";               # 停止时使用 /bin/true
  persist;                               # 即使无进程也保持 jail 存活
  allow.raw_sockets;                      # 允许使用 raw Socket
  interface = "lo1";                      # 指定网络接口
  ip4.addr = 192.168.5.4;                 # 分配 IPv4 地址
  ip6 = "disable";                        # 禁用 IPv6
}

设置开机启动，然后启动

# 将 alpine jail 添加到系统开机启动列表
# sysrc jail_list+="alpine"

# 创建并启动 alpine jail
# jail -c alpine

在 pf 中允许网络访问，方法同上。

# 将 IP 地址 192.168.5.4 添加到 pf 防火墙的 jails 表中
# pfctl -t jails -T add 192.168.5.4

现在进入 jail：

freebsd # jexec alpine /bin/sh        # 初始只有 sh，注意 shell 提示符的变化
alpine # sed  -i 's/dl-cdn.alpinelinux.org/mirrors.ustc.edu.cn/' /etc/apk/repositories    # 修改镜像地址
alpine # echo 'nameserver 223.5.5.5' >> /etc/resolv.conf      #  初始没有这个文件，自建一个
alpine # apk update             # Alpine 可以直接运行程序，但无法启动系统服务，需安装 OpenRC 后才能管理服务，建议安装 OpenRC 以获得更完整体验
alpine # apk add openrc         # 安装 OpenRC 作为初始化系统
alpine # mkdir /run/openrc  # 创建 OpenRC 运行目录
alpine # touch /run/openrc/softlevel      # 在 Docker、Chroot 或 jail 环境中使用 OpenRC 时建议创建此文件
alpine # exit    # 注意 shell 提示符的变化
FreeBSD # jail -r alpine    # 先关闭 Alpine，以使在 FreeBSD 宿主机中进行 OpenRC 配置

修改 /etc/jail.conf 中 Alpine 的配置：

alpine {                               # jail 名称
  host.hostname = "alpine";             # 设置 jail 的主机名
  mount.fstab = "/etc/fstab.alpine";    # jail 使用的 fstab 文件
  path = "/usr/jails/alpine";           # jail 根目录路径
  devfs_ruleset = 4;                     # devfs 挂载规则集
  enforce_statfs = 1;                    # 设置挂载点可见性
  allow.mount;                          # 允许挂载文件系统
  allow.mount.devfs;                     # 允许挂载 devfs
  exec.start = "/sbin/openrc default";   # 使用 OpenRC 初始化系统，启动 default 运行级别
  exec.stop = "/sbin/openrc shutdown";   # 使用 OpenRC 初始化系统，执行 shutdown 运行级别任务
  persist;                               # 即使无进程也保持 jail 存活
  allow.raw_sockets;                      # 允许使用 raw Socket
  interface = "lo1";                      # 指定网络接口
  ip4.addr = 192.168.5.4;                 # 分配 IPv4 地址
  ip6 = "disable";                        # 禁用 IPv6
}

重启 alpine jail：

# jail -c alpine

jail 中的 GUI

本文示例环境为 Windows 10 物理机，运行 VirtualBox 安装的 FreeBSD 13.1 虚拟机。

在 FreeBSD 虚拟机中已部署了 4 个 jail，如下。其中有一个 FreeBSD jail，为区分 VirtualBox 中的 FreeBSD 虚拟机，称其为 freebsd-jail：

Windows 10 物理机 ⇨ FreeBSD 13.1 虚拟机 ⇨ FreeBSD Jail（freebsd-jail） + debian Jail + Ubuntu Jail + Alpine Jail。

# jls
   JID  IP Address      Hostname                      Path
     1  192.168.5.3     debian                      /usr/jails/debian
     2  192.168.5.4     ubuntu                    /usr/jails/ubuntu
     3  192.168.5.2     alpine                        /usr/jails/alpine
     4  192.168.5.1     freebsd-jail                  /usr/jails/freebsd-jail

在这 4 个 jail 中分别安装 xclock、firefox、chrome、jwm 这几款软件。

在 freebsd-jail、Debian、Ubuntu 和 Alpine（Alpine 使用 VNC 方法不成功，其它方法如 xclock、xterm 可运行，Firefox 和 Chrome 未成功）中均已成功安装，其中 jwm 用于美化界面。

技巧
不用安装 xorg。

其中，在 Ubuntu 22.04，Firefox、Chrome 要求用 snap 安装，snap 需要 systemd，不能使用，所以使用 deb 包安装。方法如下：

# 下载 Google Chrome 稳定版安装包
# wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

# 使用 dpkg 安装下载的 deb 包
# dpkg -i google-chrome-stable_current_amd64.deb

# 若 dpkg 安装有依赖问题，可使用 apt 安装本地 deb 包并自动处理依赖
# apt install ./google-chrome-stable_current_amd64.deb

带 X Server 的终端

这里使用 MobaXterm。MobaXterm 默认配置，无多余配置。

确保 X server 已经启用，记下 DISPLAY 值，格式是 hostname:displaynumber.screennumber 这里是 192.168.56.1:0.0

$ export DISPLAY=192.168.56.1:0.0  # jail 中，这里是 sh/zsh/bash。csh/tcsh 是 setenv DISPLAY 192.168.56.1:0.0，下同
$ xclock&  # 在后台运行 xclock

4 个 xclock 可独立显示在 Windows 10 桌面上，效果比较理想。

内嵌 X Server

X Server 里的 X Server，这里使用 Xnest/Xephyr，对 X11 应用来说是 X Server，对宿主 X Server 来说是 X Client。

FreeBSD 虚拟机里安装 Xnest 或 Xephyr。两者择其一即可：

# pkg install Xnest

或者

# pkg install Xephyr

在 FreeBSD 中启用

$ Xephyr :1 -listen tcp  # 不需要 root 权限

参数说明：

:1 即上面提到了 DISPLAY 值中的 displaynumber。FreeBSD 系统 IP 为 10.0.2.15，所以完整的 DISPLAY 值为 10.0.2.15:1.0。因为 FreeBSD 系统 X Server 的 displaynumber 值为 0，所以从 1 开始
-listen tcp 侦听 TCP 端口
在 4 个 jail 中，采取上面相同的方法

$ export DISPLAY=10.0.2.15:1.0
$ xclock&

四个 jail 可以同时在 FreeBSD 开启的一个 Xnest/Xephyr 窗口中打开 xclock。但是此时的 xclock 因为没有窗口管理器，界面丑，且连最基本的拖动都做不到。可以在执行 xclock 前先执行 jwm，如下。

$ export DISPLAY=10.0.2.15:1.0
$ jwm &
$ xclock&

这里注意 jwm & 执行一次够了，不需要每个 jail 都去执行。此处使用 jwm 是因为其轻量级，Xfce 等桌面环境也可使用，可根据需要尝试。

共享主机 socket 方式

先在 FreeBSD 系统上执行

$ xhost +

关闭访问控制：

然后在 jail 的 fstab 中加入下面内容，这里以 ubuntu jail 的 fstab 为例，其它 jail 参照修改即可。

/tmp/.X11-unix   /usr/jails/ubuntu/tmp/.X11-unix    nullfs   ro   0  0

必要时先 mkdir -p /usr/jails/ubuntu/tmp/.X11-unix，确保有挂载点。

重启 jail 后，在 jail 中执行：

$ export DISPLAY=:0.0
$ xclock &

上文提到 fstab 文件中有下面这样一行

#/tmp   /usr/jails/ubuntu/tmp   nullfs  rw    0  0

虽然许多教程中有类似写法，但这不安全，因此注释掉。如果采用该写法，FreeBSD 的 /tmp 目录将暴露在 jail 中，并且可读写，使 jail 内可修改宿主机 /tmp，破坏隔离性。而仅挂载 /tmp/.X11-unix 可显著提高安全性。

X Server TCP 侦听加 xhost 连接管理

此处使用 SDDM 桌面管理器，如使用其它桌面管理器，请参考相应文档，原理相同。

在 FreeBSD 内新建 /usr/local/etc/sddm.conf（如果没有的话），修改 ServerArguments 内容如下：

[X11]
ServerArguments=-listen tcp

重启后，FreeBSD 上用下面方式加入 jail IP 以允许访问 (无需 root 权限）：

$ xhost + 192.168.5.1  # 这里不建议用上面的提到 `xhost +` 方式关闭访问控制，以避免意料外的连接

然后在 jail 中，执行：

$ export DISPLAY=:0.0
$ xclock &

这里将 DISPLAY 设为 :0.0、127.0.0.1:0.0、10.0.2.15:0.0 都成功了，上面几种方法也可以一一尝试。

VNC

在 jail 中安装 vnc server，可以用 tightvnc-server，也可以用 tigervnc-server，这里以 debian Jail 为例，在 jail 中执行

# apt install tightvncserver
$ vncpasswd           # 这里不要求 root 用户
Password:
Verify:
Would you like to enter a view-only password (y/n)? n
A view-only password is not used
$ vncserver :0        # 同样不要求 root 用户，vncserver 的端口号为 5900 加上冒号后的数字，现在为 5900，`:1` 端口号 5901，以此类推。