[Uneex] Вопросы по Jail и не только

Tarc tarc на po.cs.msu.su
Сб Мар 12 12:42:12 MSK 2005 

On Fri, Mar 11, 2005 at 05:30:51PM +0300, Tarc wrote:
> On Fri, Mar 04, 2005 at 12:52:07PM +0300, Fr. Br. George wrote:
> > Вопросы по FreeBSD5.3.
> > 
> > Потихоньку осваиваю jail-методику по типу той, что описал yuri@ на
> > послдеднем семинаре. На знаю правильно ли, но решил создать один общий
> > для всех jail-ов корень, куда устанавливаются пакеты и пр. После чего
> > jail-ы монтируют этот корень mount_unionfs -b /jail/root /jail/service1.
> > 
> > Грабли ("-" -- непройденные, "+" -- пройденные):
> -----------------------------------------------------------	
> > + При mount_unionfs -b /jail/root /jail/<пустой_какталог> в
> >   <пустом_каталоге> создаются (по мере просмотра) подкаталоги,
> >   аналогичные подкаталогам /jail/root, но с совершенно другими правами
> >   доступа. Поэтому перед первым mount_unionfs -b /jail/root /jail/service1
> >   стоит делать cd /jail/root; find . -type d | cpio -pm /jail/service1.
> 
Кстати, а лучше ли получается, если сначала создать дирректории, а потом делать mount?
Пример:
# mkdir /mnt/Mk;
# chmod 700 /mnt/Mk
# mount_unionfs -b /usr/ports /mnt
# ls -ld /mnt/Mk
drwx------ ...
то есть те права, которые нам нужны. ;-)
> > + В некоторых случаях _не_ нужно, чтобы файлы из нижнего каталога были
> >   видны в верхнем. Здесь помогает всё тот же флаг opaque, установленный
> >   для _верхнего подкаталга_ (в частности, /var, кажется, нужно скрывать
> >   весь). Приходится перед mount_unionfs -b /jail/root /jail/service1
> >   делать ещё find /jail/service1/var -typed -exec chflags opaque {} \;
> >   потому что opaque для каталога рекурсивного значение не имеет
> 
это есть в RTFM, но в этом случае лучше делать
# chflags opaque /jail/service1/var;
Это скроет все содержимое каталога var 
а после генерить подкаталоги с помощью стандартного mtree файла
# mtree -Uf /etc/mtree/BSD.var.dist -p /jail/service1/var

Это поможет избежать лишнего мусора, который в var тебе не особо нужен.
> > - При перезагрузке системы частенько в самом конце наблюдается сообщение
> >   "syncing buffers 23 4 1 1 1 1 1 1 giving up with 1 buffers" или что-то
> >   подобное, приводящее, естественно, к fsck. Как с этим бороться? Поиск
> >   в рассылке ни к чему не привёл (точнее, этот вопрос регулярно возникает,
> >   но ответ на него если и есть, то такой: "у вас не все буферы на диск
> >   записались, вот он и fsck-ется, чего ж тут удивительного").
> > 
Насколько старая система у тебя стоит? на ранних версиях 5.3 я наблюдал то же самое 
-- 
         Arseny Nasokin (aka Tarc)

Подробная информация о списке рассылки Uneex