2510: "@ityuki@otasky.ja-jp.org allow.sysvipc すると、sysvm…" - Mastodon

Nov 21, 2022, 09:48

2510 @nya2510@mastodon.white-void.net

> jail_sysvipc_allow="YES" # INSECURE (shared memory isn't jailed)

え、まじで？
古い記事を見ているから今は大丈夫かもしれないが、あとで確認しよう。

Nov 21, 2022, 09:49

いつき @ityuki@otasky.ja-jp.org

@nya2510@mastodon.white-void.net FreeBSD？？　そのオプション無いとPostgreSQLはjail上で動かない気がしますー

Nov 21, 2022, 10:05

2510 @nya2510@mastodon.white-void.net

@ityuki
YES、FreeBSDですね。
あちこちで必要になるので、INSECUREと書かれててびっくりしてるのです。

Nov 21, 2022, 10:13

いつき @ityuki@otasky.ja-jp.org

@nya2510@mastodon.white-void.net sysvIPCは、jail超えてシステムで共有されるので、セキュアじゃないって書いてあるのかと思いますー

jail1からjail2(で確保したと認識しやすい)共有メモリを書き換えられるので……！

Nov 21, 2022, 10:16

2510 @nya2510@mastodon.white-void.net

@ityuki
情報thxです。
古くは空間が分離されてなかったのが、整備されたみたいですね。
古い情報で構築してひきずってたんで、いろいろ見なおさなきゃ、という感じです。

Nov 21, 2022, 10:22

いつき @ityuki@otasky.ja-jp.org

@nya2510@mastodon.white-void.net 共有メモリはjail使っててもシステムで共有される（どのjailからも同じデータが読み書きできる）と思ってますが、もし違ってたら教えてくださいー！

2510 @nya2510@mastodon.white-void.net

@ityuki
allow.sysvipc すると、sysvmsg, sysvsem, sysvshmにinherit指定したのと同じらしく、これだとシステムと共通の空間になる=jailやホスト間と共有になるみたいです。
sysvmsg=newとか指定するとjail固有の空間にできるっぽいので、大体の場合はこっちで良さそうです。

Nov 21, 2022, 10:25 · · · ·

Nov 21, 2022, 10:46

いつき @ityuki@otasky.ja-jp.org

@nya2510@mastodon.white-void.net 雰囲気、jail.confの設定が、sysvipc_allow="YES"ではなく、sysvshm="new"にしないと駄目な感じですかねー……？ FreeBSD 11からできたのかこの設定。。

Nov 21, 2022, 11:31

2510 @nya2510@mastodon.white-void.net

@ityuki SYSV semaphoreとmessageを使ってない場合はきっとそれでOKですね。
私は誰がどれを使ってるか把握してないので、これから検証してまわらないといけないかも……。

Nov 21, 2022, 11:32

いつき @ityuki@otasky.ja-jp.org

@nya2510@mastodon.white-void.net ひょぇ……大変だ……。お疲れ様です

Sign in to participate in the conversation