[Uneex] Вопросы по Jail и не только

Fr. Br. George george на po.cs.msu.su
Пт Мар 4 12:52:07 MSK 2005 

Вопросы по FreeBSD5.3.

Потихоньку осваиваю jail-методику по типу той, что описал yuri@ на
послдеднем семинаре. На знаю правильно ли, но решил создать один общий
для всех jail-ов корень, куда устанавливаются пакеты и пр. После чего
jail-ы монтируют этот корень mount_unionfs -b /jail/root /jail/service1.

Грабли ("-" -- непройденные, "+" -- пройденные):
- В некоторых случаях (например, после редактирования vim-ом) файл в
  верхнем каталоге (/jail/service1) получает флаг opaque (хотя при -b он
  и так бы загораживал аналогичный файл), и при этом становится read
  only. По-хорошему такое поведение нужно, когда нет флага -b. Что это и
  как отключается?
+ При mount_unionfs -b /jail/root /jail/<пустой_какталог> в
  <пустом_каталоге> создаются (по мере просмотра) подкаталоги,
  аналогичные подкаталогам /jail/root, но с совершенно другими правами
  доступа. Поэтому перед первым mount_unionfs -b /jail/root /jail/service1
  стоит делать cd /jail/root; find . -type d | cpio -pm /jail/service1.
+ В некоторых случаях _не_ нужно, чтобы файлы из нижнего каталога были
  видны в верхнем. Здесь помогает всё тот же флаг opaque, установленный
  для _верхнего подкаталга_ (в частности, /var, кажется, нужно скрывать
  весь). Приходится перед mount_unionfs -b /jail/root /jail/service1
  делать ещё find /jail/service1/var -typed -exec chflags opaque {} \;
  потому что opaque для каталога рекурсивного значение не имеет
- В некоторых случаях замонтированные unionfs-ом и/или devfs-ом каталоги
  не желают размонтироваться (device busy), хотя sockstat и fstat (вроде
  бы) не показывают ничего, что бы это устройство использовало. Говорю
  "вроде бы", потому что не знаю вполне, что grep-ть из их выдачи, а
  grep-ать глазками намного сложнее, чем grep-ом ((C) Дима Левин). На
  что смотреть-то?
- При перезагрузке системы частенько в самом конце наблюдается сообщение
  "syncing buffers 23 4 1 1 1 1 1 1 giving up with 1 buffers" или что-то
  подобное, приводящее, естественно, к fsck. Как с этим бороться? Поиск
  в рассылке ни к чему не привёл (точнее, этот вопрос регулярно возникает,
  но ответ на него если и есть, то такой: "у вас не все буферы на диск
  записались, вот он и fsck-ется, чего ж тут удивительного").

Просьба ко всем, кто чего-нибудь знает или думает про "-", поделиться. А
то достало уже.

[2yuri] Наверняка у вас jail-ы не руками создаются? Поделитесь
скриптами, если не хауноу? Потому как, если верить вашим словам, в вашей
схеме таких грабель не было...

-- 
			George V Kouryachy (aka Fr. Br. George)
			mailto:george at po_cs_msu_su

Подробная информация о списке рассылки Uneex