[Uneex] Вопросы по Jail и не только
Tarc
tarc на po.cs.msu.su
Сб Мар 12 12:42:12 MSK 2005
On Fri, Mar 11, 2005 at 05:30:51PM +0300, Tarc wrote:
> On Fri, Mar 04, 2005 at 12:52:07PM +0300, Fr. Br. George wrote:
> > Вопросы по FreeBSD5.3.
> >
> > Потихоньку осваиваю jail-методику по типу той, что описал yuri@ на
> > послдеднем семинаре. На знаю правильно ли, но решил создать один общий
> > для всех jail-ов корень, куда устанавливаются пакеты и пр. После чего
> > jail-ы монтируют этот корень mount_unionfs -b /jail/root /jail/service1.
> >
> > Грабли ("-" -- непройденные, "+" -- пройденные):
> -----------------------------------------------------------
> > + При mount_unionfs -b /jail/root /jail/<пустой_какталог> в
> > <пустом_каталоге> создаются (по мере просмотра) подкаталоги,
> > аналогичные подкаталогам /jail/root, но с совершенно другими правами
> > доступа. Поэтому перед первым mount_unionfs -b /jail/root /jail/service1
> > стоит делать cd /jail/root; find . -type d | cpio -pm /jail/service1.
>
Кстати, а лучше ли получается, если сначала создать дирректории, а потом делать mount?
Пример:
# mkdir /mnt/Mk;
# chmod 700 /mnt/Mk
# mount_unionfs -b /usr/ports /mnt
# ls -ld /mnt/Mk
drwx------ ...
то есть те права, которые нам нужны. ;-)
> > + В некоторых случаях _не_ нужно, чтобы файлы из нижнего каталога были
> > видны в верхнем. Здесь помогает всё тот же флаг opaque, установленный
> > для _верхнего подкаталга_ (в частности, /var, кажется, нужно скрывать
> > весь). Приходится перед mount_unionfs -b /jail/root /jail/service1
> > делать ещё find /jail/service1/var -typed -exec chflags opaque {} \;
> > потому что opaque для каталога рекурсивного значение не имеет
>
это есть в RTFM, но в этом случае лучше делать
# chflags opaque /jail/service1/var;
Это скроет все содержимое каталога var
а после генерить подкаталоги с помощью стандартного mtree файла
# mtree -Uf /etc/mtree/BSD.var.dist -p /jail/service1/var
Это поможет избежать лишнего мусора, который в var тебе не особо нужен.
> > - При перезагрузке системы частенько в самом конце наблюдается сообщение
> > "syncing buffers 23 4 1 1 1 1 1 1 giving up with 1 buffers" или что-то
> > подобное, приводящее, естественно, к fsck. Как с этим бороться? Поиск
> > в рассылке ни к чему не привёл (точнее, этот вопрос регулярно возникает,
> > но ответ на него если и есть, то такой: "у вас не все буферы на диск
> > записались, вот он и fsck-ется, чего ж тут удивительного").
> >
Насколько старая система у тебя стоит? на ранних версиях 5.3 я наблюдал то же самое
--
Arseny Nasokin (aka Tarc)
Подробная информация о списке рассылки Uneex