サーバいじくり雑記

2014年2月18日

jail内でmountすることができるfsは?

Filed under: FreeBSD — bompopo @ 7:28 PM

さて、昨日のエントリで何気にさらっとdevfsをmountするように書いていましたが、jail内でmount可能なfsには制限があります。

jail内でmount可能なもののリストはlsvfsコマンドで確認できます。出力されたリストのFlags列にjailが入ってればjail内部でmountができます。

$ lsvfs
Filesystem                              Num  Refs  Flags
-------------------------------- ---------- -----  ---------------
zfs                              0x000000de    22  jail, delegated-administration
devfs                            0x00000071     5  synthetic, jail
ufs                              0x00000035     0
procfs                           0x00000002     3  synthetic, jail
tmpfs                            0x00000087     9  jail
nullfs                           0x00000029    22  loopback, jail

しかし、「jail.conf」でallow.mount.* = 1;しただけではmountすることはほぼ無理です。利用するにはenforce_statfsパラメータも2より下げます。enforce_statfsって何?という感じですが簡潔な説明がないものかとぐぐったらわかりやすいものがトップに!ありがたーい!

sysctl の security.jail.getfsstatroot_only が security.jail.enforce_statfs に名称変更され、ポリシーが 3つになった(0:jail 環境でも全マウントポイントの参照可能、1:jail の chroot 下のマウントポイントのみ表示かつマウントポイント以下のパスのみ表示、2:jail の chroot ディレクトリのあるマウントポイントのみ表示)

引用元:エンジニアでありたい人の日記 2005-11-05 FreeBSD 6.0-RELEASE

使うにはたいてい0か1を使うことになるのではないでしょうか(デフォルト2です)。

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。