jail パラメータ

jail.conf(5) ファイルの、またはコマンド行のパラメータは、一般的に“name=value”形式です。いくつかのパラメータは、ブール値で、値がありませんが、単独の名前によってか、または“no”接頭辞なしで設定されます、例えば、 persist または nopersist。または、それらは、値“true”た“false”を与えることができます。他のパラメータは、設定ファイルで (詳細については、 jail.conf(5) を参照) コンマで区切られたリストまたは“+=”をつけて指定されて、2 つ以上の値があります。

jail ユーティリティは、2 つのクラスのパラメータを認識します。 jail が作成されるとき、 (通常) “ jail -m”で変更することができる、 jls(8) で見ることができる、カーネルに渡される true jail パラメータがあります次に、 jail 自体によってのみ使用される疑似パラメータがあります。

jail は、設定されたコアパラメータがあり、カーネルモジュールは、それら自体の jail パラメータを追加するることができます。利用可能なパラメータの現在のセットを“ sysctl -d security.jail.param”によって検索することができます。設定されないあらゆるパラメータは、現在の環境にしばしば基づいて、デフォルト値を与えられます。コアパラメータは、次の通りです:

jid

jail 識別子。これは、自動的に新しい jail に割り当てられ、(または、明白に設定することができ)、後の変更のため、または jls(8) または jexec(8) のようなコマンドのために jail を識別するために使用することができます。

name

jail 名。これは、 (‘.’を含まないことを除いて) jail を識別する任意の文字列です。 jid のように、後の jail コマンド、または、 jls(8) または jexec(8) にそれを渡すことができます。 name が供給されないなら、デフォルトは、 jid と同じと仮定されます。 name パラメータは、 jail.conf(5) ファイル形式によって暗黙に定義され、設定ファイルを使用するとき、明示的に設定される必要はありません。

path

jail のルートとなるディレクトリ。 jail によって、または、 jexec(8) からのいずれかの、jail の内部で実行されるあらゆるコマンドは、このディレクトリから実行されます。

ip4.addr

jail に割り当てられた IPv4 アドレスのリスト。これが設定されるなら、jail は、これらのアドレスのみを使用するように制限されます。他のアドレスを使用するあらゆる試みは、失敗し、ワイルドカードのアドレスを使用する試みは、代わりに jail 化されたアドレスを黙って使用します。 IPv4 に関して、与えられた最初のアドレスは、より良いマッチを見つけることができない、バインドされていないソケットでソースアドレスの選択の場合にソースアドレスとして使用し続けられます。 jail のいずれにも、それ自体に割り当てられた、この単一のオーバラップする IP アドレスより多くなければ、同じ IP アドレスがある複数の jail のみを開始することはできます。

ip4.saddrsel

以前に述べられた振る舞いを変更し、jail の主要な IPv4 アドレスに賛成して、 jail のための IPv4 ソースアドレスの選択を無効にするブール値のオプション。ソースアドレス選択は、すべての jail に対してデフォルトで有効にされ、親の jail の ip4.nosaddrsel 設定は、あらゆる子供の jail に継承されません。

ip4

IPv4 アドレスの利用可能性を制御します。指定できる値は、すべてのシステムアドレスへの制限されていないなアクセスを許す“inherit、”上記の ip4.addr を通してアドレスを制限する“new”と IPv4 を使用する jail を完全に停止する“disable”です。 ip4.addr パラメータを設定すると、“new”の値の意味も含みます。

ip6.addr, ip6.saddrsel, ip6

上記の ip4.addr, ip4.saddrsel と ip4 に対応する、jail のための 1 組の IPv6 オプション。

vnet

それ自体のネットワークインタフェース、アドレス、ルーティングテーブル (経路表) などと共に、それ自身の仮想ネットワークスタックがある jail を作成します。カーネルは、利用可能とするために、これに対する VIMAGE option でコンパイルされなければなりません。指定できる値は、たぶん制限された IP アドレスがある、システムメットワークスタックを使用する“inherit”と新しいネットワークスタックを作成する“new”です。

host.hostname

jail のホスト名。他の同様のパラメータは、 host.domainname, host.hostuuid と host.hostid です。

host

ホスト名と関連情報の元を設定します。指定できる値は、システム情報を使用する“inherit、”上記のフィールドからの情報を使用する jail のための“new”です。上記のフィールドのいずれかを設定すると、“new”の値の意味も含みます。

securelevel

jail の kern.securelevel sysctl の値。 jail は、デフォルトのシステムより低いセキュルティレベル (securelevel) の状態に決してなりませんが、このパラメータを設定することによって、より高いものとすることができます。システムのセキュルティレベルが変更されるなら、あらゆる jail のセキュルティレベルは、少なくとも同じくらい安全となります。

devfs_ruleset

この jail のマウントされた devfs のために強制される devfs のルールセットの数。 0 の値 (デフォルト) は、ルールセットが強制されないことを意味します。子孫の jail は、親の jail の強制される devfs ルールセットを継承します。 jail の内側で devfs をマウントすることは、 allow.mount と allow.mount.devfs のパーミッションが有効で、 enforce_statfs が 2 よりも低い値に設定されている場合にのみ可能です。 devfs のルールとルールセットを、jail の内側から見たり、修正することはできません。

注: devfs の適切なデバイスのみが jail に見えるようになっていることは、重要です。 jail 中でディスクデバイスへのアクセスは、jail の外側のファイルを修正することによって jail のサンドボックス (訳注: セキュリティ上の許可) を通り抜けてるように jail 中のプロセスに許可します。 jail ごとの devfs のエントリへのアクセスを制限するために devfs のルールをどのように使用するかの情報については、 devfs(8) を参照してください。 jail のための単純な devfs ルールセットは、 /etc/defaults/devfs.rules のルールセット #4 として利用可能です。

children.max

この jail によって (またはこの jail の下の他の jail によって) 作成されることを許可される子供の jail の数。この制限は、jail が子供の jail を作成することが許可されないことを示す、デフォルトで 0 です。詳細については、 階層的な jail セクションを参照してください。

children.cur

それ自体の子供の jail とそれらの下で作成されたあらゆる jail を含む、この jail の子孫の数。

enforce_statfs

これは、どの jail の情報プロセスがマウントポイントに関して取得することができるかを決定します。それは、次の syscall の振る舞いに影響します: statfs(2), fstatfs(2), getfsstat(2) と fhstatfs(2) (同様の互換性のある syscall と同様に)。 0 に設定されるとき、すべてのマウントポイントは、あらゆる制限なしで利用可能です。 1 に設定されるとき、jail の chroot ディレクトリ下のマウントポイントのみ目に見えます。それに加えて、jail の chroot ディレクトリへのパスは、それらのパス名の前部から削除されます。 2 (デフォルト) に設定されるとき、上記の syscall は、jail の chroot ディレクトリが位置しているマウントポイントでのみ動作することができます。

persist

このブール値のパラメータを設定することによって、jail は、プロセスなしで存在することができます。通常、コマンドは、jail 作成の一部として実行され、次に、jail は、最後のプロセスの終了時に破壊されます。新しい jail には、 persist パラメータか、または exec.start または command 疑似パラメータセットのいずれかがなければなりません。

cpuset.id

cpuset の ID は、この jail (読み込み専用) に関連しています。

dying

これは、jail が、(読み込み専用) のシャットダウン中のプロセスであるなら、真です。

parent

この jail の親の jid または、これが、トップレベル (top-level) の jail (読み込み専用) であるなら、 0 です。

allow.*

jail 環境のいくつかの制限は、jail ごとを基本として設定されます。 allow.set_hostname を除いて、これらのブール値のパラメータは、デフォルトでオフです。

allow.set_hostname

jail のホスト名は、 hostname(1) または sethostname(3) を通して変更されます。

allow.sysvipc

jail 内のプロセスは、System V IPC 基本関数にアクセスできます。現在の jail 実装では、System V 基本関数は、jail 内のプロセスが jail の外側のプロセスと他の jail の内側のプロセスとの通信 (と潜在的に干渉する) できることを意味する、ホストと jail 環境に渡って単一の名前空間を共有します。

allow.raw_sockets

jail の root は、生のソケットを作成することを許可されます。このパラメータを設定することによって、 ping(8) と traceroute(8) のようなユーティリティは、jail の内側で動作できます。これが設定されるなら、発信元 IP アドレスは、 IP_HDRINCL フラグが、ソケットで設定されたかどうかにかかわらず、 jail にバインドされた IP アドレスに強制的に従います。様々なネットワークサブシステムを設定して、情報をやりとりするために生のソケットを使用できるので、特権的な jail へのアクセスが信頼されていないパーティに配布されているところで、特別の注意をするべきです。

allow.chflags

通常は、jail の内側の特権ユーザは、 chflags(2) によって特権がないものとして扱われます。このパラメータが設定されるとき、そのようなユーザは、特権があるものとして扱われ、 kern.securelevel で通常の制限に従ってシステムファイルフラグを操作します。

allow.mount

jail の内側の特権ユーザは、jail フレンドリとしてマークされたファイルシステムタイプをマウントして、アンマウントすることができます。 jail の中からマウントのために利用可能なファイルシステムタイプを見つけるために lsvfs(1) コマンドを使用することができます。 enforce_statfs が 2 より小さな値に設定される場合のみ、このパーミッションは、有効です。

allow.mount.devfs

jail の内側の特権ユーザは、devfs ファイルシステムをマウントして、アンマウントすることができます。このパーミッションは、 allow.mount に加えて、 enforce_statfs が 2 より小さな値に設定される場合のみ、有効です。 devfs_ruleset オプションで devfs ルールセットを制限することを考慮してください。

allow.mount.nullfs

jail の内側の特権ユーザは、nullfs ファイルシステムをマウントして、アンマウントすることができます。このパーミッションは、 allow.mount に加えて、 enforce_statfs が 2 より小さな値に設定される場合のみ、有効です。

allow.mount.procfs

jail の内側の特権ユーザは、procfs ファイルシステムをマウントして、アンマウントすることができます。このパーミッションは、 allow.mount に加えて、 enforce_statfs が 2 より小さな値に設定される場合のみ、有効です。

allow.mount.tmpfs

jail の内部の特権ユーザは、tmpfs ファイルシステムをマウントし、アンマウントすることができます。このパーミッションは、 enforce_statfs が 2 よい少ない値に設定されるなら、 allow.mount と一緒のみ有効です。

allow.mount.zfs

jail の内側の特権ユーザは、ZFS ファイルシステムをマウントして、アンマウントすることができます。このパーミッションは、 allow.mount に加えて、 enforce_statfs が 2 より小さな値に設定される場合のみ、有効です。 jail の中から操作する ZFS ファイルシステムを設定する方法に関する情報については、 zfs(8) を参照してください。

allow.quotas

jail の root は、jail の (複数の) ファイルシステムでクォータ (quota) を管理できます。これは、jail が他の jail またはシステムの jail 化されていない部分を共有することができるファイルシステムを含んでいます。

allow.socket_af

通常、jail 中のソケットは、IPv4、IPv6、ローカル (UNIX) とルート (route) に制限されます。これによって jail の機能性をそれらに追加していない他のプロトコルスタックへアクセス可能となります。

カーネルに渡されない疑似パラメータがありますが、jail が作成されるか、または削除されるとき、しばしば指定されたコマンドを実行することによって、 jail 環境をセットアップするために jail によって使用されます。 exec.* コマンドパラメータは、システムまたは jail 環境のいずれかで実行される sh(1) のコマンド行です。それらは、指定されたコマンドを順序どおり実行する、複数の値を与えることができます。すべてのコマンドは、(0 の終了状態を返す) 成功しなければなりません、さもなければ、jail が作成されないか、または削除されません。

疑似パラメータは、次の通りです:

exec.prestart

jail が作成する前に、システム環境で実行する (複数の) コマンド。

exec.start

jail が作成するとき、jail 環境で実行する (複数の) コマンド。実行する代表的なコマンドは、“sh /etc/rc”です。

command

コマンド行で jail を直接指定するとき使用する exec.start の同意語。値が単純な文字列である他のパラメータと異なり、 command は、それ自体の引数として jail コマンド行残りを使用します。

exec.poststart

jail が作成された後、そして任意の exec.start コマンドが完了した後に、システム環境で実行する (複数の) コマンド。

exec.prestop

jail が削除される前にシステム環境で実行する (複数の) コマンド。

exec.stop

jail が削除される前、そして任意の exec.prestop コマンドが完了した後に、jail 環境で実行する (複数の) コマンド。実行する代表的なコマンドは、“sh /etc/rc.shutdown”です。

exec.poststop

jail が削除される後にシステム環境で実行する (複数の) コマンド。

exec.clean

クリーンな環境でコマンドを実行します。環境変数は、 HOME, SHELL, TERM と USER を除いて廃棄されます。 HOME と SHELL は、ターゲットのログインのデフォルト値に設定されます。 USER は、ターゲットのログインに設定されます。 TERM は、現在の環境からインポートされます。ターゲットのログインのためのログインクラスケーパビリティデータベースからの環境変数も、設定されます。

exec.jail_user

jail 環境で実行しているとき、コマンドを実行するユーザ。デフォルトは、カレントのユーザとしてコマンドを実行することです。

exec.system_jail_user

このブール値のオプションは、jail のファイルの代わりに、システムの passwd(5) ファイルの exec.jail_user を検索します。

exec.system_user

システム環境で実行しているとき、コマンドを実行するユーザ。デフォルトは、カレントのユーザとしてコマンドを実行することです。

exec.timeout

コマンドが完了するのを待つ時間の最大の時間。コマンドが、この多くの秒が経過した後にまだ実行しているなら、 jail は、作成されないか、または削除されません。

exec.consolelog

コマンドの出力 (stdout と stderr) を向けるファイル。

exec.fib

jail の内側のコマンドを実行するとき、設定する FIB (ルーティングテーブル (経路表))。

stop.timeout

それらに ( exec.stop コマンドが完了した後に起こる) SIGTERM シグナルを送った後に、jail のプロセスが終了するのを待つ時間の最大時間。この多くの秒が経過した後に、あらゆる残っているプロセスを kill して、 jail は、削除されます。これが 0 に設定されているなら、 SIGTERM は、送られず、jail は、直ちに削除されます。デフォルトは、10 秒です。

interface

jail の IP アドレス ( ip4.addr と ip6.addr) を追加するネットワークインタフェース。 jail が作成される前に各アドレスの別名は、インタフェースに追加され、 jail が削除された後に、インタフェースから削除されます。

ip4.addr

カーネルに渡される IP アドレスに加えて、インタフェースおよび/またはネットマスクも、形式“ interface| ip-address/ netmask”で指定されます。インタフェースが IP アドレスの前に与えられるなら、アドレスのための別名は、それが interface のパラメータがあるように、そのインタフェースに追加されます。ドット付き 4 つ組または CIDR 形式のいずれかで、ネットマスクが IP アドレスの後に与えられるなら、それは、IP の別名を追加するとき、使用されます。

ip6.addr

カーネルに渡される IP アドレスに加えて、インタフェースおよび/または接頭辞も形式“ interface| ip-address/ prefix”で指定されます。

vnet.interface

vnet が有効にされた jail の後に与えるネットワークインタフェースは、作成されます。インタフェースは、jail が削除されるとき、自動的に返されます。

ip_hostname

host.hostname パラメータを解決して、この jail のためのアドレス ( ip4.addr または ip6.addr) のリストにリゾルバ (resolver) よって返されたすべての IP アドレスを追加します。これは、jail の発信 IPv4 接続のためのデフォルトアドレス選択に影響します。各アドレスファミリのためにリゾルバ (resolver) よって最初に返されたアドレスは、プライマリ (primary) アドレスとして使用されます。

mount

単一の fstab(5) 行として与えられる、jail (と、それを削除した後にアンマウントする) を作成する前にマウントするファイルシステム。

mount.fstab

jail を作成する前にマウントするファイルシステムを含んでいる fstab(5) 形式のファイル。

mount.devfs

chroot された /dev ディレクトリに devfs(5) ファイルシステムをマウントし、 jail の内側で目に見えるデバイスを制限するために、 devfs_ruleset パラメータ (またはルールセット 4: devfsrules_jail のデフォルト) のルールセットを適用します。

mount.fdescfs

chroot された /dev/fd ディレクトリに fdescfs(5) ファイルシステムをマウントします。

allow.dying

dying (死んでいる) jail に変更を行うことを可能にします。

depend

この jail が依存する jail (または複数の jail) を指定します。あらゆるそのような jail は、あらゆるアクションが、この jail を作成するために取られる前に、最後の exec.poststart コマンドまで、完全に作成されなければなりません。 jail が削除されるとき、反対 (opposite) は、真です: この jail は、それが依存する (複数の) jail が停止される前に、最後の exec.poststop コマンドまで、完全に削除されなければなりません。

jail ディレクトリのツリーのセットアップ

FreeBSD 配布全体を含んでいる jail ディレクトリのツリーをセットアップするために、次の sh(1) コマンドスクリプトを使用することができます:

D=/here/is/the/jail 
cd /usr/src 
mkdir -p $D 
make world DESTDIR=$D 
make distribution DESTDIR=$D

多くの場合に、この例は、jail に必要なものよりはるかに多くのものを入れるでしょう。ほかの極端な場合に、jail は、たった 1 つのファイルを含むかもしれません: jail で実行される実行形式。

“thin” (細い) jail で始まり、それが動作するまで、物事を追加するより、“fat” (太い) jail で始めて、それが動作を停止するまで、物事を削除するほうがより簡単であり、注意深く実験することをお勧めします。

jail のセットアップ

jail ディレクトリのツリーを構築するためには、 jail ディレクトリのツリーのセットアップ に記述されていることを行います。この例のために、“testjail”という名前が付けられた jail のために、 /data/jail/testjail で、それを構築したと仮定します。自分のディレクトリ、IP アドレスとホスト名で必要なように下記を置き換えます。

ホスト環境のセットアップ

最初に、実際のシステムの環境を“jail フレンドリ”にセットアップする必要があります。一貫性のために、“ホスト環境”として親のコンピュータ (box) を言及し、“jail 環境”として jail 化された仮想マシンを言及します。 jail は、IP 別名を使用して実装されるので、最初に行うことの 1 つは、サービスのためのすべてのローカル IP アドレスで listen する (接続を受け付ける) ホストシステムで IP サービスを無効にすることです。ネットワークサービスが特定の IP アドレスでなく、すべての利用可能な IP アドレスをバインド (bind) するホスト環境に存在しているなら、そして、 jail がポートにバインドされていなかったなら、 jail IP アドレスに送信された要求をサービスできます。これは、適切な IP アドレス、その他で単に listen する (接続を受け付ける) ために inetd(8) を変更することを意味します。ホスト環境で /etc/rc.conf に、次を追加します:

sendmail_enable="NO" 
inetd_flags="-wW -a 192.0.2.23" 
rpcbind_enable="NO"

192.0.2.23 は、この例において、ホストシステムのための元の IP アドレスです。指定されたホスト IP アドレスのみを使用するように inetd(8) から実行されるデーモンを、簡単に設定することができます。他のデーモンは、手動で設定される必要があり—いくらかについては、これは、 rc.conf(5) フラグエントリを通して可能です。他のものについては、アプリケーションごとの設定ファイルを修正するか、アプリケーションを再コンパイルすることが必要です。次の頻繁に展開されるサービスは、特定の IP アドレスを listen している (接続を受け付けている) アプリケーションを制限するために修正されたそれらの個別の設定ファイルがなければなりません。

sshd(8) を設定するためには、 /etc/ssh/sshd_config を修正する必要があります。

sendmail(8) を設定するためには、 /etc/mail/sendmail.cf を修正する必要があります。

named(8) に対しては、 /etc/namedb/named.conf を修正する必要があります。

さらに、多くのサービスは、ホスト環境で、それらを実行するために再コンパイルされなければなりません。これは、 rpcbind(8), nfsd(8) と mountd(8) のような rpc(3) を使用してサービスを提供するほとんどのアプリケーションを含んでいます。一般的に、バインド (bind) する IP アドレスを指定することができないアプリケーションは、jail IP アドレスにサービス要求も送るべきでないなら、ホスト環境で実行されるべきではありません。ホスト環境で NFS をサービスする試みは、さらに混乱を引き起こすかもしれません、いくつかの NFS サービスがカーネルから直接サービスされるように、特定の IP だけを使用するように簡単に再設定することができません。また、ホスト環境で実行しているあらゆるサードパーティのネットワークソフトウェアは、jail 環境によっても提供されるように思える、それらのサービスの結果となるかもしれない、すべての IP アドレスをバインド (bind) できないように、チェックされ、設定されるべきです。

いったん、これらのデーモンがホスト環境で無効にされ、固定されると、 (例えば、jail にメールを送るとき、その sendmail がダウンし、メールがホストに配信されるなど、がわかるなど) 後で混乱の可能性を縮小するために、すべてのデーモンが既知の状態とできるように、リブートすることが最も良いことです。

jail の設定

利用者がネットワークインタフェースを少し整理して、アカウントをセットアップすることができるように、ネットワークインタフェースを設定せずに、初めて任意の jail を開始します。あらゆるマシン (仮想またはそうでない) と同様に、 root パスワード、タイムゾーンなどを設定する必要があります。これらのステップのうちのいくつかは、jail の内側の完全な仮想サーバを実行するつもりである場合のみあてはまります。他のものは、特定のアプリケーションの抑制のために、または仮想サーバを実行のための両方にあてはまります。

jail でシェルを開始します:

jail -c path=/data/jail/testjail mount.devfs host.hostname=testhostname \ 
 ip4.addr=192.0.2.100 command=/bin/sh

エラーがないと仮定すると、jail 内のシェルプロンプトで終わります。今 /usr/sbin/sysinstall を実行し、様々な設定のオプションを設定するポストインストール設定を行うか、または /etc/rc.conf などを編集することによって、これらのアクションを手動で実行することができます。

• jail 内の名前解決が正しく動作できるように /etc/resolv.conf を設定します。
• sendmail(8) の警告を止めるために newaliases(1) を実行します。
• 実際のホストシステムと異なるかもしれない、root のパスワードを設定します。
• タイムゾーンを設定します。
• jail 環境のユーザのためのアカウントを追加します。
• 環境が要求するあらゆるパッケージをインストールします。

また、あらゆるパッケージに特有の設定 (ウェブサーバ、SSH サーバなど)、を実行する必要があり、必要なログ記録を行うように、 /etc/syslog.conf を修正するなどを行います。仮想サーバを使用しないなら、jail 環境の syslog ソケットで listen する (接続を受け付ける) ためにホスト環境で syslogd(8) を修正したいかもしれません。この例では、syslog ソケットは、 /data/jail/testjail/var/run/log に格納されるでしょう。

シェルから出ると、jail は、シャットダウンされます。

jail の開始

利用者は、そのデーモンと他のプログラムのすべてを備えた環境を提示して、今、jail を再開する準備ができました。 /etc/jail.conf で jail のためのエントリを作成します:

testjail { 
 path = /tmp/jail/testjail; 
 mount.devfs; 
 host.hostname = testhostname; 
 ip4.addr = 192.0.2.100; 
 interface = ed0; 
 exec.start = "/bin/sh /etc/rc"; 
 exec.stop = "/bin/sh /etc/rc.shutdown"; 
}

仮想のサーバ環境を開始するために、 /etc/rc は、様々なデーモンとサービスを開始するに実行され、 /etc/rc.shutdown は、jail が削除されるときに、それらをシャットダウンするために実行されます。 jail で単独のアプリケーションを実行しているなら、“/bin/sh /etc/rc”のためのアプリケーションを開始するために使用されるコマンドを置き換えます。アプリケーションをきれいにシャットダウンすることができるいくつかのスクリプトがあります、さもなければ、停止コマンドなしで十分に進行し、アプリケーションに SIGTERM を送る jail があります。

次を実行することによって jail を開始します:

jail -c testjail

少しの警告が出されるかもしれません。しかしながら、それは、すべて適切に動作するべきです。 jail 化されたプロセスの横に現われる‘ J’フラグが付けられた ps(1) を使用して、jail の内側で実行している、 inetd(8), syslogd(8) と他のプロセスを見ることができるはずです。 jail のアクティブなリストを見るためには、 jls(8) ユーティリティを使用します。また、jail 化された環境のホスト名または IP アドレスに telnet(1) し、以前に作成されたアカウントを使用してログインすることができるはずです。

ブート時に jail か開始されることも可能です。詳細については、 rc.conf(5) の“jail_*”変数を参照してください。

jail の管理

例えば、 halt(8), reboot(8) と shutdown(8) などの通常のマシンのシャットダウンコマンドを jail の内側でうまく使用することができません。 jail の内側からのすべてのプロセスを kill するためには、何を達成したいかによって、次のコマンドの 1 つを使用できます:

kill -TERM -1 
kill -KILL -1

これは、jail 内のすべてのプロセスに SIGTERM または SIGKILL シグナルを送ります - ホスト環境からこれを実行しないように注意してください! いったん、jail のプロセスがすべて死んだら、jail が persist パラメータを付けて作成されたなら、jail は、削除されます。また、jail の用途によって、jail の内側から /etc/rc.shutdown を実行したいかもしれません。

外側から jail をシャットダウンするためには、 exec.stop によって指定されたあらゆるコマンドを実行する、 jail -r で、単にそれを削除し、次に、あらゆる残っている jail 化されたプロセスに SIGTERM と最終的に SIGKILL を送ります。

/proc/pid/status ファイルは、その最後のフィールドとして、プロセスがファイルは、その最後のフィールドとして、プロセスが実行する jail の名前、または jail 内で実行されていないプロセスを示す“ -”を含んでいます。また、 ps(1) コマンドは、jail で処理するために‘ J’フラグを表示します。

また、利用者、それらの jail ID に基づいたプロセスをリスト/kill できます。プロセスとそれらの jail ID を表示するためには、次のコマンドを使用します:

ps ax -o pid,jid,args

jail の番号 3 のプロセスを表示して、次に、kill するためには、次のコマンドを使用します:

pgrep -lfj 3 
pkill -j 3

または:

killall -j 3

jail とファイルシステム

ファイルシステムが jail フレンドリとマークされ、jail の allow.mount パラメータが設定され、jail の enforce_statfs パラメータが 2 より小さくないなら、jail の内側のあらゆるファイルシステムを mount(8) または umount(8) することは不可能です。

同じファイルシステムを共有する複数の jail は、お互いに影響を及ぼすかもしれません。例えば、1 つの jail のユーザは、別の jail のプロセスに対して空間を残さないで、ファイルシステムを満杯にすることもできます。これを防ぐために quota(1) を使用しようとすることは、ファイルシステムのクォータが、 jail に気づかないように、どちらも動作しませんが、ユーザとグループ ID のみ見えます。これは、2 つの jail の同じユーザ ID が、同じファイルシステムのクォータを共有することを意味します。この作業を行うために jail ごとに 1 つのファイルシステムを使用する必要があるでしょう。

sysctl MIB エントリ

プロセスが jail の内側 (値が 1) で実行されているか、jail の内側でない (値が 0) かどうかを決定するために、読み込み専用のエントリ security.jail.jailed を使用することができます。

変数 security.jail.max_af_ips は、アドレスファミリごとにどのくらいのアドレスが jail にあるかを決定します。デフォルトは、255 です。

いくつかの MIB 変数には、jail ごとの設定があります。 jail 化されたプロセスによって、これらの変数を変更することは、ホスト環境に影響せず、jail 環境のみに影響します。これらの変数は、 kern.securelevel, kern.hostname, kern.domainname, kern.hostid と kern.hostuuid です。

階層的 jail

jail の children.max パラメータを設定することによって、jail の内側のプロセスは、それら自体の jail を作成することができます。これらの子供の jail は、それらが作成した jail (または、それらの jail の子供) を見る、および/または変更できる jail でのみ、階層的に保持されます。各 jail には、それを作成した jail の jid を含んでいる、読み込み専用の parent パラメータがあります。 0 の jid は、jail が現在の jail の子供 (または、現在のプロセスが jail 化されていないなら、トップレベル jail である) ことを示します。

jail 化されたプロセスは、それら自体に与えられるより大きなパーミッションを与えることができません、例えば、jail が allow.nomount で作成されるなら、 allow.mount 設定で jail を作成できません。同様に、 ip4.addr と securelevel のような制限は、子供の jail で迂回されません。

子供の jail は、それ自体の children.max パラメータが設定されるなら (デフォルトで 0 であることを覚えておいてください)、順番にそれ自体の子供の jail を作成できます。これらの jail は、目に見えて、それらの親とすべての先祖によって修正することができます。

jail 名は、ドットによって区切られた MIB タイプの文字列であるフルネームで、この階層構造を反映します。例えば、ベースシステムのプロセスが jail “foo”を作成し、その jail の下のプロセスが別の jail “bar”を作成するなら、2 番目の jail は、基本システムの“foo.bar”として見られます (が、jail “foo”内側のあらゆるプロセスには“bar”としてのみ見られます)。他方では、jid は、単一の空間に存在し、各 jail には、ユニークな jid がなければなりません。

名前のように、子供の jail の path は、作成者自体の path と相対的です。これは、最初の jail の chroot された環境で作成される子供の jail に基づいています。