Construindo NanoBSD dentro de uma cadeia

4

Estou tentando configurar uma cadeia para permitir a criação de uma imagem do NanoBSD. Na verdade, é uma cadeia em cima de uma instalação do NanoBSD.

O problema que tenho é que não consigo montar o dispositivo md para fazer a parte 'build image'. Simplesmente não é possível montar um dispositivo md dentro de uma prisão, ou há algum outro botão que eu precise girar?

No host

/etc/rc.conf.local

jail_enable="YES"
jail_mount_enable="YES"
jail_list="build"
jail_set_hostname_allow="NO"
jail_build_hostname="build.vm"
jail_build_ip="192.168.0.100"
jail_build_rootdir="/mnt/zpool0/jails/build/home"
jail_build_devfs_enable="YES"
jail_build_devfs_ruleset="devfsrules_jail_build"

/etc/devfs.rules

[devfsrules_jail_build=5]
# nothing

Dentro da cadeia

[root@build /usr/obj/nanobsd.PROLIANT_MICROSERVER]# sysctl security.jail
security.jail.param.cpuset.id: 0
security.jail.param.host.hostid: 0
security.jail.param.host.hostuuid: 64
security.jail.param.host.domainname: 256
security.jail.param.host.hostname: 256
security.jail.param.children.max: 0
security.jail.param.children.cur: 0
security.jail.param.enforce_statfs: 0
security.jail.param.securelevel: 0
security.jail.param.path: 1024
security.jail.param.name: 256
security.jail.param.parent: 0
security.jail.param.jid: 0
security.jail.enforce_statfs: 1
security.jail.mount_allowed: 1
security.jail.chflags_allowed: 1
security.jail.allow_raw_sockets: 0
security.jail.sysvipc_allowed: 0
security.jail.socket_unixiproute_only: 1
security.jail.set_hostname_allowed: 0
security.jail.jail_max_af_ips: 255
security.jail.jailed: 1

[root@build /usr/obj/nanobsd.PROLIANT_MICROSERVER]# mdconfig -l
md2 md0 md1 

md0 e md1 são os ramdisks do host.

bsdlabel parece sensato

[root@build /usr/obj/nanobsd.PROLIANT_MICROSERVER]# bsdlabel /dev/md2s1
# /dev/md2s1:
8 partitions:
#        size   offset    fstype   [fsize bsize bps/cpg]
  a:  1012016       16    4.2BSD        0     0     0 
  c:  1012032        0    unused        0     0         # "raw" part, don't edit

newfs executa ok

[root@build /usr/obj/nanobsd.PROLIANT_MICROSERVER]# newfs -U /dev/md2s1a
/dev/md2s1a: 494.1MB (1012016 sectors) block size 16384, fragment size 2048
    using 4 cylinder groups of 123.55MB, 7907 blks, 15872 inodes.
    with soft updates
super-block backups (for fsck -b #) at:
 160, 253184, 506208, 759232

mount falha

[root@build /usr/obj/nanobsd.PROLIANT_MICROSERVER]# mount /dev/md2s1a _.mnt/
mount: /dev/md2s1a : Operation not permitted

ATUALIZAÇÃO:

Um dos meus colegas apontou

There are some file systems types that can't be securely mounted within a jail no matter what, like UFS, MSDOFS, EXTFS, XFS, REISERFS, NTFS, etc. because the user mounting it has access to raw storage and can corrupt it in a way that it will panic entire system.

De link

Portanto, parece que o padrão nanobsd.sh não é executado dentro de uma cadeia enquanto usa o dispositivo md para construir a imagem. Uma solução potencial que tentarei é chroot do host para a cadeia de compilação, em vez de jexec a shell.

    
por ptomli 23.11.2011 / 18:53

1 resposta

1

Como você disse, o chroot é o caminho a seguir.

Você não deseja obter segurança, apenas crie e altere a raiz para que os scripts de instalação se comportem corretamente. É para isso que o chroot serve.

Em alguns sistemas, não existe um binário chroot, mas é fácil codificar um script simples que vai conseguir o que você quiser (e, ei, você pode reutilizá-lo mais tarde!).

    
por 07.02.2012 / 22:03

Tags