FreeBSD 中文社区 2025 第二季度问卷调查
FreeBSD 中文社区(CFC)
VitePress 镜像站QQ 群 787969044视频教程Ⅰ视频教程Ⅱ
  • FreeBSD 从入门到追忆
  • 中文期刊
  • 状态报告
  • 发行说明
  • 手册
  • 网络文章集锦
  • 笔记本支持报告
  • Port 开发者手册
  • 架构手册
  • 开发者手册
  • 中文 man 手册
  • 文章
  • 书籍
  • FreeBSD 从入门到追忆(第三版:草稿)
  • 编辑日志
  • 目录
  • 致谢
  • 初版序言:好望角与塔吊
  • 再版序言:回到复制粘贴,面向教程本身
  • 三版序言:且有大觉而后知此其大梦也(草稿)
  • 前言
  • 第 1 章 FreeBSD 初见
    • 第 1.1 节 操作系统的历程:UNIX、Unix-like、Linux & FreeBSD
    • 第 1.2 节 FreeBSD 简史
    • 第 1.3 节 谁在使用 FreeBSD?
    • 第 1.4 节 为什么要使用 FreeBSD?
    • 第 1.5 节 Linux 用户迁移指南
    • 第 1.6 节 FreeBSD 桌面发行版
  • 第 2 章 安装 FreeBSD
    • 第 2.1 节 安装前准备(新手入门版本)
    • 第 2.2 节 FreeBSD 安装图解(新手入门版本)
    • 第 2.3 节 UNIX 基础(新手入门版本)
    • 第 2.4 节 命令行基础(新手入门版本)
    • 第 2.5 节 安装 FreeBSD——基于 VMware Workstation Pro
    • 第 2.6 节 安装 FreeBSD——基于 Virtual Box
    • 第 2.7 节 手动安装双系统(先安装 FreeBSD)
    • 第 2.8 节 手动安装双系统(后安装 FreeBSD)
    • 第 2.9 节 安装 FreeBSD——基于 Apple M1 & Parallels Desktop 20
    • 第 2.10 节 安装 FreeBSD——基于 Apple M1 & VMware Fusion Pro
    • 第 2.11 节 Qemu 安装 RISC-V FreeBSD(基于 x86 Windows)
    • 第 2.12 节 云服务器安装 FreeBSD(基于腾讯云轻量云)
    • 第 2.13 节 安装 FreeBSD——基于 Hyper-V
  • 第 3 章 包管理器与 FreeBSD 系统更新
    • 第 3.1 节 FreeBSD 镜像站现状
    • 第 3.2 节 FreeBSD 换源方式
    • 第 3.3 节 gitup 的用法
    • 第 3.4 节 通过 pkg 包管理器安装二进制包
    • 第 3.5 节 通过 Ports 以源代码方式安装软件
    • 第 3.6 节 通过 DVD 安装软件
    • 第 3.7 节 通过 freebsd-update 更新 FreeBSD
    • 第 3.8 节 通过源代码更新 FreeBSD
    • 第 3.9 节 使用 pkgbase 更新 FreeBSD
  • 第 4 章 桌面环境
    • 第 4.1 节 显卡驱动(英特尔、AMD)
    • 第 4.2 节 显卡驱动(NVIDIA)
    • 第 4.3 节 GNOME
    • 第 4.4 节 Mate
    • 第 4.5 节 Xfce
    • 第 4.6 节 Cinnamon
    • 第 4.7 节 Lumina
    • 第 4.8 节 LXQt
    • 第 4.9 节 bspwm
    • 第 4.10 节 IceWM
    • 第 4.11 节 Budgie
    • 第 4.12 节 i3wm
    • 第 4.13 节 CDE
    • 第 4.14 节 Hyprland
    • 第 4.15 节 LXDE
    • 第 4.16 节 Window Maker
    • 第 4.17 节 Fluxbox
    • 第 4.18 节 KDE6
    • 第 4.19 节 主题美化
    • 第 4.20 节 远程桌面
    • 第 4.21 节 root 登录桌面
  • 第 5 章 中文环境配置
    • 第 5.1 节 本地化环境变量
    • 第 5.2 节 Fcitx 输入法框架
    • 第 5.3 节 IBus 输入法框架
    • 第 5.4 节 五笔输入法
    • 第 5.5 节 Firefox 与 Chromium
    • 第 5.6 节 QQ(Linux 版)
    • 第 5.7 节 更换字体
    • 第 5.8 节 金山 WPS(Linux 版)
    • 第 5.9 节 压缩与解压
    • 第 5.10 节 微信(Linux 版)
  • 第 6 章 多媒体与外设
    • 第 6.1 节 声卡
    • 第 6.2 节 蓝牙
    • 第 6.3 节 打印机
    • 第 6.4 节 触摸板
    • 第 6.5 节 音频播放器
    • 第 6.6 节 视频播放器
    • 第 6.7 节 音频图形图像处理
  • 第 7 章 代理服务器
    • 第 7.1 节 HTTP 代理
    • 第 7.2 节 V2ray
    • 第 7.3 节 Mihomo(原 Clash)
    • 第 7.4 节 OpenVPN
  • 第 8 章 账户与权限
    • 第 8.1 节 sudo 与 doas
    • 第 8.2 节 用户与组
    • 第 8.3 节 用户权限
  • 第 9 章 Jail
    • 第 9.1 节 Jail 配置
    • 第 9.2 节 Jail 更新
    • 第 9.3 节 使用 Qjail 管理 Jail
  • 第 10 章 虚拟化
    • 第 10.1 节 通过 BVCP 以网页管理 BHyve
    • 第 10.2 节 使用 bhyve 安装 Windows 11(vm-bhyve)
  • 第 11 章 计算机概论
    • 第 11.1 节 存储卡参数简介与测试
    • 第 11.2 节 总线接口与协议
    • 第 11.3 节 网络基础
    • 第 11.4 节 操作系统
    • 第 11.5 节 MySQL 数据库
  • 第 12 章 引导恢复与 TTY 配置
    • 第 12.1 节 单用户模式与密码重置
    • 第 12.2 节 配置 rEFInd(双系统用)
    • 第 12.3 节 FreeBSD 中文 TTY 控制台
    • 第 12.4 节 引导界面与控制台界面
    • 第 12.5 节 Grub & UEFI 与 efibootmgr
  • 第 13 章 FreeBSD 系统管理
    • 第 13.1 节 FreeBSD src 源码概览
    • 第 13.2 节 FreeBSD 系统概览
    • 第 13.3 节 bsdconfig 系统配置工具
    • 第 13.4 节 SSH 配置与相关工具
    • 第 13.5 节 BSD init 管理服务
    • 第 13.6 节 利用脚本自动生成 BSDlibc 库文本
  • 第 14 章 网络管理
    • 第 14.1 节 TCP 堆栈
    • 第 14.2 节 WiFi
    • 第 14.3 节 USB 网络共享(USB tethering)
    • 第 14.4 节 USB 网卡 & 以太网卡
  • 第 15 章 FreeBSD 防火墙
    • 第 15.1 节 网络参数配置命令
    • 第 15.2 节 Packet Filter(PF)
    • 第 15.3 节 IPFilter(IPF)
    • 第 15.4 节 ipfirewall(IPFW)
    • 第 15.5 节 Fail2Ban(基于 IPFW、PF、IPF)
  • 第 16 章 服务器
    • 第 16.1 节 FTP 服务器
    • 第 16.2 节 MinIO 对象存储服务
    • 第 16.3 节 Gitlab-EE
    • 第 16.4 节 时间服务
    • 第 16.5 节 WildFly
    • 第 16.6 节 Rsync 同步服务
    • 第 16.7 节 Samba 服务器
    • 第 16.8 节 NFS 服务器
    • 第 16.9 节 Webmin
  • 第 17 章 网络服务器
    • 第 17.1 节 Apache
    • 第 17.2 节 Nginx
    • 第 17.3 节 PHP 8.X
    • 第 17.4 节 MySQL 5.X
    • 第 17.5 节 MySQL 8.X
    • 第 17.6 节 NextCloud——基于 PostgreSQL
    • 第 17.7 节 Telegraf+InfluxDB+Grafana 监控平台
    • 第 17.8 节 PostgreSQL 与 pgAdmin4
    • 第 17.9 节 AList
    • 第 17.10 节 prometheus 监控部署
    • 第 17.11 节 MongoDB 80
    • 第 17.12 节 Tomcat
    • 第 17.13 节 Caddy
    • 第 17.14 节 OnlyOffice(基于 PostgreSQL)
    • 第 17.15 节 Zabbix 监控(基于 PostgreSQL)
  • 第 18 章 嵌入式(树莓派、RISCV)
    • 第 18.1 节 树莓派简介与配件选用
    • 第 18.2 节 树莓派安装 FreeBSD
    • 第 18.3 节 树莓派 FreeBSD 配置
    • 第 18.4 节 树莓派与 Linux 兼容层
    • 第 18.5 节 树莓派与 OpenBSD
    • 第 18.6 节 在 RISCV 开发板上安装 OpenBSD
    • 第 18.7 节 Radxa X4(x86)
  • 第 19 章 文学故事
    • 第 19.1 节 BSD 与哲学家 George Berkeley(乔治·贝克莱)
    • 第 19.2 节 加州大学伯克利分校与“Fiat Lux”(要有光)
  • 第 20 章 游戏与科学
    • 第 20.1 节 游戏
    • 第 20.5 节 科研与专业工具
    • 第 20.6 节 我的世界(Minecraft)
  • 第 21 章 Linux 兼容层
    • 第 21.1 节 Linux 兼容层实现
    • 第 21.2 节 Linux 兼容层——基于 CentOS(FreeBSD Port)
    • 第 21.3 节 Linux 兼容层——基于 Ubuntu/Debian
    • 第 21.4 节 Linux 兼容层——基于 ArchLinux bootstrap
    • 第 21.5 节 Linux 兼容层——基于 archlinux-pacman
    • 第 21.6 节 Linux 兼容层——基于 OpenSUSE
    • 第 21.7 节 Linux 兼容层——基于 Gentoo Linux
    • 第 21.8 节 Linux 兼容层——基于 Rocky Linux
    • 第 21.9 节 Linux 兼容层——基于 Slackware Linux
    • 第 21.10 节 RockyLinux 兼容层(FreeBSD Port)
    • 第 21.11 节 Linux 兼容层——基于 Deepin
    • 第 21.12 节 Linux 兼容层与 Jail
    • 第 21.13 节 Linux 兼容层故障排除与未竟事宜
  • 第 22 章 编程环境与软件开发
    • 第 22.1 节 如何报告 Bug
    • 第 22.2 节 如何开发一个 Port
    • 第 22.3 节 如何参与 FreeBSD 开发
    • 第 22.4 节 C/C++ 环境的配置
    • 第 22.5 节 Java 环境的配置
    • 第 22.6 节 QT 环境的配置
    • 第 22.7 节 Python 与 VS Code
    • 第 22.8 节 Rust/Go 环境的配置
    • 第 22.9 节 Shell
    • 第 22.10 节 通过 IDA 7 调试 FreeBSD
    • 第 22.11 节 如何订阅 FreeBSD 的邮件列表
    • 第 22.12 节 code-server 和 clangd
    • 第 22.13 节 Node.js
  • 第 23 章 文件系统与磁盘管理
    • 第 23.1 节 自动挂载文件系统
    • 第 23.2 节 ZFS
    • 第 23.3 节 磁盘扩容
    • 第 23.4 节 NTFS & Fat32
    • 第 23.5 节 Swap 交换分区的设置
    • 第 23.6 节 Linux 文件系统
    • 第 23.7 节 ZFS 磁盘加解密
  • 第 24 章 DragonFly BSD
    • 第 24.1 节 DragonFly BSD 概述
    • 第 24.2 节 安装 DragonFly BSD
    • 第 24.3 节 配置 DragonFly BSD
  • 第 25 章 TwinCAT/BSD
    • 第 25.1 节 TwinCAT/BSD 系统安装与基本配置
    • 第 25.2 节 TwinCAT/BSD 开发环境配置
  • 第 26 章 OpenBSD
    • 第 26.1 节 OpenBSD 概述
    • 第 26.2 节 安装 OpenBSD
    • 第 26.3 节 配置 OpenBSD
    • 第 26.4 节 OpenBSD 包管理器
    • 第 26.5 节 桌面与其他软件
  • 第 27 章 NetBSD
    • 第 27.1 节 NetBSD 概述
    • 第 27.2 节 NetBSD 安装图解
    • 第 27.3 节 NetBSD 换源与包管理器
    • 第 27.4 节 桌面与中文环境常用软件
由 GitBook 提供支持
在本页
  • 预留 jail 的 ip
  • 安装 Qjail 工具
  • 部署 Qjail 使用的目录结构
  • 附录:从官方镜像站自动下载
  • 附录:从境内镜像站下载
  • 部署 jail
  • Qjail 基本用法
  • 更新 jail
  • 更新 jail 中的基本系统
  • 更新 ports
  • 更新系统源代码
  • 更新过程
  • jail 设置
  • -h
  • -m -M
  • -r -R
  • -y -Y
  • 网络设定
  • 示例:部署 PostgreSQL jail
  • 宿主机中操作
  • jail 控制台中的操作
在GitHub上编辑
导出为 PDF
  1. 第 9 章 Jail

第 9.3 节 使用 Qjail 管理 Jail

上一页第 9.2 节 Jail 更新下一页第 10.1 节 通过 BVCP 以网页管理 BHyve

最后更新于17天前

LogoLogo

FreeBSD 中文社区(CFC) 2025

Qjail 是 Jail 环境的部署工具,复刻自 ezjail 3.1。Jail 管理工具有 ezjail、Qjail、iocage 等。ezjail 在 2015 年更新到 3.4.2 后一直没有关键更新。ezjail 的 ports 更新依赖 portsnap,现已废弃。iocage 依赖于 ZFS 文件系统,使用 UFS 文件系统的用户无法使用。Qjail 在这些方面则不存在问题。ezjail 不支持 Jail 的 vnet 功能,iocage 和 Qjail 则支持。ezjail 和 Qjail 使用 sh 编写,iocage 使用 python 编写。

下文中部署的 Jail 在概念上结构如下图:

预留 jail 的 ip

在 /etc/rc.conf 文件中写入

cloned_interfaces="lo1"  # 克隆出 lo1,尽量和宿主机网络配置分开。①
ifconfig_lo1_alias0="inet 192.168.1.0-9" # 宿主机 ip 为 10.0.2.15, 选择该网段是为了和宿主机网段分开,请自行斟酌

注意

①如果要生成多个端口,也应该在同一行中描述,以空格隔开,而不是另外创建一行,如 cloned_interfaces="lo1 lo2" 。分成多行写,只会有一行生效。

运行

# service netif restart

lo1 将获得 10 个 ip 地址,下面将用 1-9 这 9 个 ip 给 jail 使用。

安装 Qjail 工具

  • 使用 pkg 安装:

# pkg install qjail
  • 或者使用 Ports 安装:

# cd /usr/ports/sysutils/qjail/ 
# make install clean

启用 qjail

# sysrc qjail_enable=YES

部署 Qjail 使用的目录结构

使用 Qjail 前首先要部署 Qjail 使用的目录结构,有两种方式:

附录:从官方镜像站自动下载

# qjail install

此时 Qjail 会从 FreeBSD 官网下载 base.txz 文件,示例输出如下:

# qjail install
resolving server address: ftp.freebsd.org:80
requesting http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/13.1-RELEASE/base.txz
remote size / mtime: 195363380 / 1652346155
...

附录:从境内镜像站下载

因境内网络问题,也可以用镜像手动进行,以中国科学技术大学镜像为例(下载文件是注意版本号,Qjail 要求文件版本与宿主机一致,这里是 FreeBSD amd64 13.1)

# fetch https://mirrors.ustc.edu.cn/freebsd/release/amd64/13.1-RELEASE/base.txz
# qjail install base.txz

部署好 Qjail 的目录结构后 /usr/jails 目录下会自动生成 sharedfs template archive flavors 四个目录:

  • sharedfs 包含一份只读的操作系统可执行库文件,挂载为 nullfs,在各 jail 之间共享,以节省存储空间的使用。

  • template 包含操作系统的配置文件,将被复制到每个 jail 的基本文件系统中

  • archive 保存 jail archive 命令产生的存档文件

  • flavors 包含系统风格(flavors)和用户创建的自定义风格,其实就是自己定义的配置文件等

部署 jail

# qjail create -n lo1 -4 192.168.1.1 jail1
  • -n 指定使用 lo1 作为网络接口

  • -4 指定 ipv4 地址。

生成 jail1 后,/usr/jails/ 目录下对应生成 jail1 目录 ( /usr/jails/jail1/),保存相应文件。

可以在上面提到的 flavors 目录中建立自己的配置文件以便在部署 jail 时复制到新的 jail 中。如,新建 /usr/jails/flavors/default/usr/local/etc/pkg/repos/FreeBSD.conf,那么之后再新建 jail 时,会自动把这个文件复制到对应的 jail 中,即

# qjail create -n lo1 -4 192.168.1.2 jail2

建立 jail2 后,自动建立 /usr/jails/jail2/usr/local/etc/pkg/repos/FreeBSD.conf ,既修改了之后所有 jail 的默认 pkg 镜像。但对应 jail1 并没有生成这个文件,因为生成 jail1 时,还没有在 flavors 目录中写入相应文件。

Qjail 基本用法

  • 列出 Qjail 管理的 jail

# qjail list
  • 启用 jail

# qjail start # 启动所有 jail
# qjail start jail1 # 启动 jail1
  • 停止 jail

# qjail stop # 停止所有 jail
# qjail stop jail1 # 停止 jail1
  • 重启 jail

# qjail restart # 重启所有 jail
# qjail restart jail1 # 重启 jail1
  • 进入 jail 控制台

# qjail console jail1  # 进入 jail1 控制台

进入 jail 控制台后,此时是 jail 中的 root 账户(进入 jail 控制台,无需输入密码),因 jail 可能开启对外服务,为安全考虑建议设置账户密码

  • 备份 jail

# qjail archive -A  # 备份所有 jail
# qjail archive jail1  # 备份 jail1
  • 从备份中恢复 jail

# qjail restore jail1  # 从备份中恢复 jail1
  • 删除 jail

# qjail delete jail1  # 删除 jail1
# qjail delete -A     # 删除所有 jail

更新 jail

下面更新 jail 的部分不针对单个 jail,而是针对每个 jail,因为这些文件利用 nullfs 共享一份。

更新 jail 中的基本系统

既上面提到的 sharedfs 中的文件

# qjail update -b

更新 ports

这里有 -p(小写)、-P(大写)两个选项,-p(小写)使用 portsnap 更新 jail 的 ports tree。-P(大写)使用宿主机的 ports 更新 jail 的 ports。若主机已有 ports,则建议使用 -P(大写),避免重复下载 ports。

# qjail update -P  # 这里注意要大写

更新系统源代码

# qjail update -S # 大写

更新过程

请先自行安装配置 gitup。

开始更新:

# freebsd-update fetch install
# gitup src
# gitup ports
# qjail stop
# qjail update -b
# qjail update -S
# qjail update -P
# qjail start

jail 设置

Qjail 可以用 qjail config 命令对每个 jail 另作设置,运行 qjail config 前须选停用指定的 jail。

qjail config 命令选项较多,这里列出几个常用的,更多的请参考手册页

qjail -- Utility for deployment of jail environments

-h

# qjail config -h jail1

快速开启 jail1 的 ssh 服务,新建一个 wheel 组用户,用户名和密码同 jail 名,首次用这个用户登录要求修改密码。也可以在登录 jail 控制台后,自行配置 sshd 服务。

-m -M

# qjail config -m jail1

设置 jail1 需手动启动(manual 状态),qjail_enable="YES" 写入 /etc/rc.conf 后在系统启动时会自动启动各个 jail,设为手动启动后则不会在系统启动时自动启动相应的 jail,须用 qjail start jailname 启动。

对应小写的 -m 选项,有大写的 -M 选项,作用为关闭手动启动状态,即清除 manual 状态,可以在系统启动时自动启用 jail。Qjail 中有大量类似的选项,小写字母的选项启用某个功能,大写字母的选项关闭对应功能。如果下文中同时出现小写和大写的选项就不在过多作出说明。

-r -R

# qjail config -r jail1

将 jail1 设为不允许启动(norun 状态),相当于禁用该 jail。

-y -Y

# qjail config -y jail1

启用该 jail 的 SysV IPC,在 jail 中安装 PostgreSQL 时,需要打开这个选项,PostgreSQL 运行基于这个功能。

网络设定

注意

有的教程里会教你用 qjail config -k jailname 打开 raw_sockets 功能来打开外网访问的能力,其实这是个误区。raw_sockets 只是像 ping 一类的工具需要使用而已,并不是说网络访问一定要打开 raw_sockets。而且在 jail 中打开 raw_sockets 本身有安全风险,这是 jail 环境默认的一种安全设计。所以除非你一定要在 jail 中用 ping 之类的工具,否则无论是用什么方式构建的 jail 都不建议打开 raw_sockets 功能。

此时的 jail 还不能连接网络,因为 jail 绑定在 lo1 网络接口上,lo1 并不能直接访问外网,接下来通过 pf 设定网络,其中 em0 为外网接口

  • 在 /etc/pf.conf 中写入

nat pass on em0 inet from lo1 to any -> em0  # 使 jail 可以访问网络,从 lo1 接口发出的连接通过 nat 转发到 em0
rdr pass on em0 inet proto tcp from any to em0 port 22 -> 192.168.1.1 port 22  # 使宿方机外可以访问指定 jail,端口重定向,把连接到 em0 上 22 端口上的 tcp 连接重定向到 192.168.1.1 地址(即 jail1)的 22 端口上
  • 启动防火墙

# service pf enable
# service pf start

此时,绑定在 lo1 上的 jail 可以访问宿主机外网络,宿主机外网络可以通过宿主机 22 号端口连接 jail1 的 22 号端口。

示例:部署 PostgreSQL jail

假设已经如上文所述预留 jail ip,并成功运行 qjail install 命令。

这里以 PostgreSQL 15 为例,其它版本也适用。

宿主机中操作

# qjail create -n lo1 -4 192.168.1.3 postgres
# qjail config -y postgres   #  开启 SysV IPC
# qjail start postgres

编辑 /etc/pf.conf

nat pass on em0 inet from lo1 to any ->em0  # 上文已作说明
rdr pass on em0 inet proto tcp from any to em0 port 5432 -> 192.168.1.3 port 5432 # 不建议写下此句,作用为使宿方机外可以访问 jail 中的 postgresql,此处应考虑安全和实际需要开启端口转发,不建议直接向外提供 postgresql 连接

启用 pf

# service pf start

进入名为 postgres 的 jail 的控制台

# qjail console postgres

jail 控制台中的操作

下面命令皆在 jail 控制台下运行,pkg 安装与否使用镜像请自行决定,若使用镜像可以在 jail 控制台中如同宿主机般进行设置,请参考相关文章。

  • 使用 pkg 安装:

# pkg install postgresql15-server
  • 或者使用 Ports 安装

# cd /usr/ports/databases/postgresql15-server/ && make install clean

配置 PostgreSQL:

# service postgresql enable
# mkdir -p -m 0700 /var/db/postgres/data15  # 注意版本号
# chown postgres:postgres /var/db/postgres/data15  # 这个目录应属于 postgres 用户
# su postgres   # 这里切换到 postgres 用户,注意下面提示符的变化
$ initdb -A scram-sha-256 -E UTF8 -W -D /var/db/postgres/data15
$ exit   #  回到 jail root 用户,注意提示符变化
# service postgresql start

这里使用 initdb 而不是使用安装时提示的 /usr/local/etc/rc.d/postgresql initdb 是为了避免之后设置数据库密码时,来回修改 pg_hba.conf 文件,现对选项作简要说明:

  • -A 为本地用户指定在 pg_hba.conf 中使用的默认认证方法

  • -E 选择模板数据库的编码。

  • -W 让 initdb 提示要求为数据库超级用户给予一个口令

  • -D 指定数据库集簇应该存放的目录

至此 PostgreSQL 服务已经可以运行。

如果在上面的过程中忘记使用 qjail config -y postgres 命令开启 SysV IPC,那么可能会出现下面的错误:

初始化数据库集簇时的错误

启动 PostgreSQL 时的错误


此时在宿主机控制台下执行 qjail config -y postgres 即可修正错误,具体如下:

# qjail stop postgres
# qjail config -y postgres
# qjail start postgres

再次进入 jail 的控制台就可以正常初始化数据库集簇和运行 PostgreSQL 服务了。