nullfs pode ser usado para fornecer acesso de somente leitura a partes do sistema de arquivos do host. Todas as prisões vivem dentro do sistema de arquivos do host, então a idéia de acesso à prisão é iminente.
No meu sistema (e eu faço cadeias da maneira mais difícil) Eu tenho a seguinte diretiva em /etc/jails.conf :
mount.fstab = "/etc/fstab.${name}";
que significa que eu tenho fstab s separados para cada cadeia, que contém algo como:
/jail/base /jail/somejail/base nullfs ro 0 0
Existe obviamente toda uma série de argumentos sobre o particionamento de cadeias, processos e aplicações. Pessoalmente, eu gosto de manter um aplicativo auto contido dentro de uma única cadeia, em seguida, usar (ainda outro) nginx jail para o proxy reverso para todas as cadeias de aplicativos. Usar o ZFS e um aplicativo por cadeia torna muito fácil gerenciar diferentes versões da pilha simultaneamente, testar novas versões e reverter onde for necessário. Em resumo, defendo a execução de nginx e php-fpm em cada cadeia de aplicativos (que contêm conteúdo estático e dinâmico).